Publisert: 17.06.2014 | Sist endret: 14.02.2020

Hva det er: En autorisasjon er en godkjennelse man må få av autorisasjonsansvarlig i virksomheten for å få tilgang til sikkerhetsgradert informasjon og adgang til skjermingsverdige objekter og infrastruktur. Autorisasjon er med andre ord en avgjørelse om at en person etter forutgående sikkerhetsklarering (med unntak for tilgang til informasjon sikkerhetsgradert BEGRENSET), bedømt etter kunnskap om sikkerhetsbestemmelser, tjenestlig behov samt avlagt skriftlig taushetsløfte, faktisk kan gis tilgang til informasjon med angitt sikkerhetsgrad (virksomhetsikkerhetsforskriften § 67).

Å være autorisert innebærer at personen er sikkerhets- og adgangsklarert, vurdert sikkerhetsmessig skikket, og gitt nødvendig tillit til at man kan stole på vedkommende i behandling av sikkerhetsgradert informasjon og den gitte adgang til skjermingsverdige objekter og infrastruktur. Autorisasjon er en viktig del av daglig sikkerhetsmessig ledelse

Daglig sikkerhetsmessig ledelse av klarert og autorisert personell er en av de viktigste faktorene for å forebygge at gradert informasjon kompromitteres, og for å forebygge og hindre ikke-statlig terror, attentat eller annen alvorlig kriminalitet, statlig sabotasje eller andre tilsiktede anslag fra en annen stat.

Hva sikkerhetsloven krever:
Sikkerhetsloven § 8-1: Person som skal få tilgang til sikkerhetsgradert informasjon skal autoriseres i samsvar med § 8-9 (autorisasjon). Det samme gjelder personer som skal ha adgang til skjermingsverdige objekter og infrastruktur som det er fattet vedtak om etter § 8-3 (adgangsklarering). Personer som skal autoriseres for tilgang til informasjon gradert KONFIDENSIELT eller høyere, må ha gyldig sikkerhetsklarering. Personer som skal autoriseres for tilgang til skjermingsverdige objekter eller infrastruktur som det er fattet vedtak om etter § 8-3, må ha gyldig adgangsklarering.

Ansvarsforhold (sikkerhetsloven § 8-11)
En klarert og autorisert person skal umiddelbart varsle den autorisasjonsansvarlige om forhold som kan være av betydning for om personen er sikkerhetsmessig skikket. Varslingsplikten omfatter alle forhold som kan være av betydning for en persons sikkerhetsmessige skikkethet. I praksis betyr dette opplysninger om forhold som fremgår av sikkerhetsloven § 8-4 fjerde ledd bokstav a til o, opplysninger som nevnt i klareringsforskriften § 6, jf. § 7, samt opplysninger som på en negativ måte kan påvirke personens evne til å følge opp eventuelle vilkår for klareringen.

Sikkerhetsloven § 8-10: Dersom autorisasjonsansvarlig får opplysninger som gir rimelig grunn til å tvile på at en autorisert person fortsatt kan anses sikkerhetsmessig skikket, skal den autorisasjonsansvarlige vurdere om autorisasjonen skal opprettholdes, tilbakekalles, nedsettes eller suspenderes. Autorisasjonsansvarlige skal melde fra til klareringsmyndigheten om avgjørelsen. NSM viser innledningsvis til virksomhetsikkerhetsforskriften § 74. At en autorisasjon opprettholdes innebærer at den autoriserte beholder sin autorisasjon. Blir autorisasjonen tilbakekalt betyr det at den autoriserte ikke lenger har gyldig autorisasjon. Autorisasjonsansvarlig kan også bestemme at autorisasjonen blir nedsatt, hvilket betyr at den autoriserte får en autorisasjon på et lavere nivå enn vedkommende hadde tidligere. Blir en autorisasjon suspendert innebærer dette at personen midlertidig mister sin autorisasjon, i påvente av å innhente ytterligere informasjon, eller i påvente av at opplysningene som foreligger blir vurdert. 

Autorisasjonsansvarlig (sikkerhetsloven § 8-9)
Virksomhetens leder er autorisasjonsansvarlig og har ansvaret for sikkerhetsmessig ledelse og kontroll av autoriserte personer. Autorisasjonsansvarlig er ansvarlig for å autorisere personell for tilgang til sikkerhetsgradert informasjon. Den enkelte virksomhets leder kan, dersom behovet tilsier det, delegere autorisasjonsansvaret. Dette er ikke regulert i sikkerhetsloven, eller tilhørende forskrifter, men fremgår av forarbeidene til sikkerhetsloven. NSM anbefaler at slik delegering ikke bør skje lavere enn avdelings-/seksjonsnivå for å unngå informasjonsspredning. Dette fordi det er viktig at den som har autorisasjonsansvaret har mulighet til å foreta daglig sikkerhetsmessig ledelse av den autoriserte. Dersom det er kortere avstand mellom autorisasjonsansvarlig og den autoriserte vil det være enklere å bli oppmerksom på endringer hos den autoriserte. NSM legger til grunn at virksomheten bør vise varsomhet i delegasjonsadgangen for å unngå spredning av personsensitive opplysninger, og det bør tas særlig hensyn til individuelle forhold i virksomheten. Av hensyn til notoritet anbefaler NSM at delegering skjer skriftlig.

Autorisasjon skal ikke gis hvis autorisasjonsansvarlig har opplysninger som gjør det tvilsomt om personen er sikkerhetsmessig til å stole på.

Vilkår for å gi autorisasjon (virksomhetsikkerhetsforskriften § 67, jf. § 7)

  • Identitetskontroll er foretatt
  • Tjenestlig behov
  • Nødvendig klarering iht. sikkerhetsloven § 8-1
  • Taushetserklæring er undertegnet
  • Kjennskap til de relevante delene av styringssystemet for sikkerhet
  • Tilstrekkelig kompetanse om sikkerhet
  • Informere om endringer i kravene til sikkerheten
  • Kjennskap til relevante sikkerhetstrusler og sikkerhetsbestemmelser
  • Autorisasjonssamtale er gjennomført
  • Sikkerhetsmessig skikkethet er avklart

Autorisasjonssamtale
Når man er sikkerhetsklarert, må man autoriseres for å få tilgang til skjermingsverdig informasjon på arbeidsplassen. Man får kun tilgang til informasjon man har tjenstlig behov for (need-to-know).

For å bli autorisert, gjennomføres en autorisasjonssamtale mellom autorisasjonsansvarlig og den som skal autoriseres. Autorisasjonssamtalen er en formell samtale, og er et verktøy for autorisasjonsansvarlig i virksomheten som et ledd i arbeidet med forebyggende sikkerhet. Hensikten er å avklare om autorisasjonsansvarlig har nødvendig tillit til at personen vil håndtere skjermingsverdig og/eller sikkerhetsgradert informasjon i henhold til lov, forskrifter, instruks og lokalt regelverk, og at personen er sikkerhetsmessig skikket.

Under en autorisasjonssamtale undertegner man taushetserklæring. Taushetserklæringen skal undertegnes som bekreftelse på at den som skal autoriseres har satt seg inn i sikkerhetsbestemmelsene og for å bevisstgjøre taushetsplikten. Taushetserklæringen er en skriftlig dokumentasjon på dette jf. sikkerhetsloven § 5-4.

Personen har taushetsplikt etter at vedkommende har sluttet i stillingen (også etter klareringen har gått ut på tid). 

Autorisasjonssamtale skal gjennomføres (virksomhetsikkerhetsforskriften § 68):

  • Før det gis autorisasjon 
  • Når en autorisert person selv ber om det
  • Ved ny forespørsel om sikkerhetsklarering (reklarering)
  • Når autorisasjonsansvarlig ellers finner grunn til det

 

Autorisasjonssamtalens innhold (virksomhetsikkerhetsforskriften § 68)
Gjennom autorisasjonssamtalen skal autorisasjonsansvarlig forsikre seg om at den som skal autoriseres, kjenner til relevante sikkerhetstrusler og sikkerhetsbestemmelser og forstår sin rolle i sikkerhetsarbeidet til virksomheten.

Autorisasjonsansvarlig skal også kontrollere at opplysningene den som skal autoriseres gir, er tilstrekkelige og oppdaterte.

I løpet av samtalen skal autorisasjonsansvarlig og den som skal autoriseres drøfte eventuelle risikofaktorer ved personen som er relevante for personellsikkerheten, og drøfte tiltak som kan redusere risikofaktorer ved personen, eller som kan oppfylle vilkår som klareringsmyndigheten har gitt for klareringen.

Dersom personen har vært autorisert før, skal den som autoriserer, hente inn opplysninger av betydning fra forrige autorisasjonsavgjørelse.

 

Autorisasjonshjul

Autorisasjon av utenlandske statsborgere – virksomhetsikkerhetsforskriften § 70

Med utenlandske statsborgere menes personer som har statsborgerskap fra et annet land en Norge, har dobbelt statsborgerskap, er statsløse eller har uavklart statsborgerskap.  Før en utenlandsk statsborger, som ikke har klarering, kan autoriseres for informasjon gradert BEGRENSET skal autorisasjonsansvarlig vurdere om personens tilknytning til hjemlandet og hjemlandets sikkerhetsmessige betydning utgjør en akseptabel risiko. Dersom det oppstår usikkerhet vedrørende dette kan autorisasjonsansvarlig ta kontakt med klareringsmyndigheten om en slik vurdering av hjemlandets sikkerhetsmessige betydning. Dersom personen kommer fra en stat Politiets sikkerhetstjeneste (PST) mener utgjør en høy sikkerhetsrisiko mot Norge må autorisasjonsansvarlig innhente samtykke fra klareringsmyndigheten før den utenlandske statsborgeren kan autoriseres for BEGRENSET.

Den utenlandske statsborgeren kan bare autoriseres for til informasjon sikkerhetsgradert av en fremmed stat dersom personen er borger av denne staten eller dersom NSM har innhentet tillatelse fra statens myndigheter. Utenlandske statsborgere kan også bare autoriseres for tilgang til informasjon sikkerhetsgradert av en internasjonal organisasjon dersom staten personen er borger av, er medlem av organisasjonen eller dersom NSM har innhentet tillatelse fra organisasjonen.

Autorisasjon av utenlandske statsborgere uten sikkerhetsklarering for BEGRENSET – informasjon til autorisasjonsansvarlig

Autorisasjon av utenlandske statsborgere skal skje i tråd med de generelle reglene om autorisasjon gitt i sikkerhetsloven § 8-9 og virksomhetsikkerhetsforskriften kapittel 12. For autorisasjon for BEGRENSET av utenlandske statsborgere uten sikkerhetsklarering, er det gitt en særbestemmelse i virksomhetsikkerhetsforskriften § 70. Nasjonal sikkerhetsmyndighet (NSM) har utarbeidet følgende prosessbeskrivelse for slike autorisasjoner:

I. Samtlige personer som skal få tilgang til sikkerhetsgradert informasjon, skal autoriseres i samsvar med sikkerhetsloven § 8-9 og virksomhetsikkerhetsforskriften § 68.

II. Autorisasjonsansvarlig må vurdere om det foreligger et reelt behov for å autorisere vedkommende.

III. Autorisasjonsansvarlig bør ha tilgang til og kunne dokumentere følgende informasjon om personen som ønskes autorisert:

a. Fullt navn, fødested og fødselsdato, evt. fødselsnummer (norsk/utenlandsk der dette foreligger).
b. Nåværende adresse i Norge og/eller utlandet.
c. Statsborgerskap og evt. tidligere statsborgerskap.
d. Kontroll av gyldig pass. Det skal tas kopi av pass som oppbevares sammen med autorisasjonspapirene.
e. Det må foreligge et tjenstlig behov for sikkerhetsgradert informasjon etter sikkerhetsloven § 5-4 for å kunne autorisere en person for BEGRENSET. Behovet skal dokumenteres og oppbevares sammen med autorisasjonspapirene.
f. Dersom det foreligger en utfylt personopplysningsblankett bør denne legges ved dokumentasjonen.
g. Dersom behovet for å autorisere en utenlandsk statsborger følger av konkrete avtaler eller invitasjoner o.l. bør nødvendige opplysninger om dette dokumenteres.
h. Hvem som er autoriserende virksomhet.
i. Antatt varighet for behov for autorisasjon.

IV. For utenlandske statsborgere uten sikkerhetsklarering, som skal autoriseres for BEGRENSET, må man i tillegg følge bestemmelsene i virksomhetsikkerhetsforskriften § 70. Autorisasjonsansvarlig skal vurdere om personens tilknytning til hjemlandet og hjemlandets sikkerhetsmessige betydning utgjør en uakseptabel risiko.

a. Vurdering av tilknytning til hjemlandet

Når den autorisasjonsansvarlige skal vurdere om personens tilknytning til hjemlandet utgjør en uakseptabel risiko bør det legges vekt på personens formelle, relasjonelle og emosjonelle tilknytning til hjemlandet. Eksempler på hva som faller inn under vurderingen er personens statsborgerskap, familie/relasjoner i hjemlandet og reisevirksomhet. Det bør søkes å finne ut av om personens tilknytning til hjemlandet kan komme i konflikt med hensynet til å ivareta Norge og våre alliertes sikkerhetsmessige interesser.

b. Vurdering av hjemlandets sikkerhetsmessige betydning

Den autorisasjonsansvarlige skal også ta stilling til om hjemlandets sikkerhetsmessige betydning utgjør en uakseptabel risiko. Med et lands «sikkerhetsmessige betydning» menes forhold som er av særlig personellsikkerhetsmessig interesse, for eksempel etterretningsvirksomhet, landets styresett, forhold til Norge og våre allierte, kriminalitetsbildet, relevante økonomiske, sosiale og kulturelle forhold og liknende. Samlet sett utgjør disse forholdene landets sikkerhetsmessige betydning.

Den sikkerhetsmessige betydningen vil variere fra land til land og kan også endre seg over tid, for eksempel ved sikkerhetspolitiske endringer, krigsutbrudd etc. Landets evne og vilje til å drive etterretning, spionasje og påvirkning er av særlig betydning. Dersom man ikke har informasjon om landets eventuelle etterretningsmessige trussel mot Norge er det likevel viktig å vurdere om Norge og det aktuelle landet har motstridende interesser av betydning. Her er alliansepolitikk og bilateralt forhold (mellom Norge og det aktuelle landet) relevante temaer.

Politisk situasjon eller levekår er eksempler på forhold som også kan ha betydning for landets sikkerhetsmessige betydning. Et land med autoritært regime og dårlig menneskerettighetssituasjon vil ha flere muligheter for å utøve press. Videre vil land som preges av for eksempel krig, konflikt, et uoversiktlig aktørlandskap eller etniske motsetninger kunne innebære lojalitetsutfordringer som igjen kan ha betydning for norske/alliertes sikkerhetsinteresser.

Av virksomhetsikkerhetsforskriften § 70 fremkommer det at autorisasjonsansvarlig kan be klareringsmyndigheten om en vurdering av hjemlandets sikkerhetsmessige betydning. Den autorisasjonsansvarlige henvender seg da direkte, skriftlig til klareringsmyndigheten.

V. Dersom personen som skal autoriseres kommer fra en stat som Politiets sikkerhetstjeneste (PST) mener utgjør en høy sikkerhetsrisiko for Norge, må den autorisasjonsansvarlige innhente samtykke fra en klareringsmyndighet før den utenlandske statsborgeren kan autoriseres for BEGRENSET, jfr. virksomhetsikkerhetsforskriften § 70. Den autorisasjonsansvarlige må se hen til PSTs ugraderte trusselvurdering for å klarlegge hvilke stater dette gjelder. Den autorisasjonsansvarlige må benytte trusselvurderingene både fra inneværende år og tidligere år. Forespørsel om samtykke fremsendes klareringsmyndigheten på skjema fastsatt av NSM. Gjeldende skjema finnes på samlesiden for skjemaer på NSMs nettsider.

VI. Det følger av virksomhetsikkerhetsforskriften § 70 tredje og fjerde ledd at utenlandske statsborgere bare kan autoriseres for tilgang til informasjon sikkerhetsgradert av fremmede stater dersom personen er borger av den fremmede staten, eller dersom Nasjonal sikkerhetsmyndighet har innhentet tillatelse fra statens myndigheter. Utenlandske statsborgere kan bare autoriseres for tilgang til informasjon sikkerhetsgradert av internasjonal organisasjon dersom staten personen er borger av, er medlem av organisasjonen, eller dersom Nasjonal sikkerhetsmyndighet har innhentet tillatelse fra organisasjonen. NSM gjør oppmerksom på at dette blant annet kan være til hinder for autorisasjon til informasjonssystemer som gir tilgang til både norsk og NATO- /tredjelandsinformasjon.

VII. Autorisasjonsansvarlig foretar en helhetsvurdering av om personen kan autoriseres eller ikke, basert på de foreliggende opplysningene i saken.

VIII. Det bør dokumenteres hvilken sikkerhetsmessig oppfølging som vil bli gitt, og eventuelle spesielle tiltak for å håndtere risiko knyttet til autorisasjonen.

IX. Virksomhetsikkerhetsforskriften § 68 fjerde ledd åpner for felles orientering for personer som skal autoriseres for BEGRENSET eller med et kortvarig behov for KONFIDENSIELT som et alternativ til individuell autorisasjonssamtale. NSM presiseres at denne bestemmelsen ikke er gjeldende i de tilfeller det foreligger kjente forhold som kan være av betydning for sikkerhetsmessig skikkethet. NSM legger dermed til grunn at de vurderinger som den autorisasjonsansvarlige skal gjøre etter § 70 fordrer en individuell autorisasjonssamtale, og at bestemmelsen i § 68 om felles orientering dermed ikke kan gjelde ved autorisasjon av utenlandske statsborgere.

X. Autorisasjonsansvarlig skal orientere NSM om utenlandske statsborgere som er autorisert for BEGRENSET. Slik innmelding foregår ved at autorisasjonsansvarlig fortløpende, skriftlig sender NSM informasjon om personens navn, fødselsnummer/fødselsdato, statsborgerskap og evt. varighet på autorisasjonen på fastsatt skjema. Gjeldende skjema finnes på samlesiden for skjemaer på NSMs nettsider.

Det vises for øvrig til «Veileder i sikkerhetsloven kapittel 8 og bestemmelser om personellsikkerhet i forskriftene» som er tilgjengelig på NSMs hjemmeside.

Under følger et utvalg av lenker (gyldige per 2019) til åpne kilder som kan være nyttige for å finne relevant landinformasjon:

Ny utgave av autorisasjonsboka er under utarbeidelse og vil komme i løpet av 2020.