Virksomhetsikkerhetsforskriften § 31. Hvem som kan omgradere Informasjon med norsk sikkerhetsgradering kan omgraderes av virksomheten som har utstedt informasjonen, en overordnet virksomhet, det departementet som er ansvarlig for det forebyggende sikkerhetsarbeidet innenfor sektoren, og av Nasjonal sikkerhetsmyndighet. Informasjon med utenlandsk sikkerhetsgradering kan bare omgraderes av eller etter samtykke fra den staten eller organisasjonen som har utstedt informasjonen.

Med utgangspunkt i prinsippet om utsteders kontroll, er hovedregelen at det er utstedende virksomhet som skal vurdere og fatte beslutning om å omgradere sikkerhetsgradert informasjon. Øvrige virksomheters myndighet til å omgradere må derfor ses i sammenheng med § 33, hvor det fremgår at spørsmålet om omgradering skal legges frem for det departementet som er ansvarlig for det forebyggende sikkerhetsarbeidet innenfor sektoren, eller for Nasjonal sikkerhetsmyndighet i tilfeller hvor utstedende virksomhet ikke kan kontaktes.

Dette vil i hovedsak gjelde tilfeller hvor utstedende virksomhet er nedlagt. Det vil likevel kunne oppstå tilfeller hvor utstedende virksomhet og overordnet virksomhet er uenige i hvorvidt informasjon skal omgraderes eller ikke. I slike tilfeller legges det til grunn at overordnet virksomhet eller departement kan, innenfor sin alminnelige instruksjonsmyndighet, instruere underordet virksomhet til å omgradere. NSM vil kunne benytte sin myndighet til å overprøve beslutninger om omgradering ved åpenbare feilvurderinger som kan resultere i skadefølger for nasjonale sikkerhetsinteresser.

Virksomhetsikkerhetsforskriften § 30. Omgradering av sikkerhetsgradert informasjon.

Virksomheten skal vurdere å omgradere sikkerhetsgradert informasjon dersom

a) den mottar et varsel om feil gradering etter § 32

b) den mottar en henvendelse om innsyn som nevnt i § 33

c) den avleverer dokumenter til Arkivverket

d) det ellers oppstår grunn til å tro at beskyttelsesbehovet for informasjonen har endret seg

 

En omgradering kan gå ut på å fastsette en annen sikkerhetsgrad etter sikkerhetsloven § 5-3 første ledd eller å avgradere informasjonen.

Bestemmelsens 2. ledd beskriver hva en omgradering kan innebære. I tillegg til å fastsette en annen grad (oppgradere eller nedgradere) eller å avgradere informasjonen, så må begrepet omgradering også anses å favne endringer vedrørende tidspunkt for avgradering etter sikkerhetsloven § 5-3. En vurdering av behov for omgradering vil utløses ved forhold som beskrevet i bestemmelsens bokstav a til d, og innebærer at man ser den opprinnelige beslutningen om sikkerhetsgrad opp mot eventuelle nye opplysninger, eller nye eller endrede forhold og forutsetninger.

En beslutning om ikke å omgradere sikkerhetsgradert informasjon skal være et resultat av en vurdering hvor det konkluderes med at konfidensialitetsbrudd rimelig kan forventes å fortsatt forårsake samme skade på nasjonale sikkerhetsinteresser.

En beslutning om å oppgradere sikkerhetsgradert informasjon skal være et resultat av en vurdering hvor det konkluderes med at konfidensialitetsbrudd rimelig kan forventes fortsatt å forårsake skade på nasjonale sikkerhetsinteresser, men at skadefølgene anses å være mer omfattende enn ved den opprinnelige verdivurderingen.

En beslutning om å nedgradere sikkerhetsgradert informasjon skal være et resultat av en vurdering hvor det konkluderes med at konfidensialitetsbrudd rimelig kan forventes fortsatt å forårsake skade på nasjonale sikkerhetsinteresser, men at skadefølgene anses å være mindre omfattende enn ved den opprinnelige verdivurderingen.

En beslutning om å avgradere sikkerhetsgradert informasjon skal være et resultat av en vurdering hvor det konkluderes med at konfidensialitetsbrudd rimelig kan forventes ikke å lengre kunne forårsake skade på nasjonale sikkerhetsinteresser.

Virksomhetsikkerhetsforskriften § 33. Prosedyrer ved henvendelse om innsyn En utsteder av sikkerhetsgradert informasjon som mottar et krav om innsyn i informasjon etter offentleglova eller miljøinformasjonsloven, eller om partsinnsyn etter forvaltningsloven, sla uten ugrunnet opphold vurdere om den samlede informasjonen eller deler av den skal omgraderes etter § 30. En virksomhet som får en henvendelse om innsyn i sikkerhetsgradert informasjon den ikke har utstedt selv, skal uten ugrunnet opphold be utstederen om å vurdere omgradering. Utstederen skal uten ugrunnet opphold vurdere spørsmålet og gi tilbakemelding. Kan ikke utstederen kontaktes, skal spørsmålet om omgradering legges frem for det departementet som er ansvarlig for det forebyggende sikkerhetsarbeidet innenfor sektoren, eller for Nasjonal sikkerhetsmyndighet. Dersom informasjon som er omfattet av retten til partsinnsyn etter forvaltningsloven, er gradert BEGRENSET, kan en autorisasjonsansvarlig autorisere en fysisk person som er part i saken, slik at det kan gis partsinnsyn.

Ved henvendelse om innsyn skal virksomheten gjennomføre en vurdering og fatte beslutning om hvorvidt informasjonen skal omgraderes eller ikke. Beslutning om ikke å omgradere tilsvarer avslag på innsynskrav, jf. offentleglova §31. Bestemmelsen krever at avslag skal være skriftlig, og det skal vises til den konkrete bestemmelsen som er grunnlag for avslaget. For avslag med grunnlag i sikkerhetslovens bestemmelser skal det henvises til den konkrete bestemmelsen, samt offentleglova § 13.

Den som har fått avslag på innsynskrav kan kreve en nærmere begrunnelse, jf. offentleglova § 31, 2. ledd. En nærmere begrunnelse skal nevne hvilke overordnede hensyn som har vært avgjørende for avslaget, og hvorfor virksomheten mener at dette er grunnlag for avslag. Det er ikke krav om at begrunnelsen skal være uttømmende eller omfattende. Krav til innhold blir ytterligere avgrenset ved at virksomhetens begrunnelse ikke skal røpe informasjon som den skal eller kan og bør unnta for innsyn.

For øvrig vises til Rettleiar i offentleglova, og særlig kapittel 9 om håndtering av innsynskrav, samt underkapitlene 9.3 (om hvor lang tid organet kan bruke til å avgjøre innsynskrav), 9.4 (om hvordan organet kan gi innsyn), og 9.5 (om avslag og begrunnelse).