Som nevnt i forrige delkapittel er det den høyeste sikkerhetsgraden brukt i informasjonsmengden som er førende for hvilken sikkerhetsgrad den samlede informasjonsmengden får. Sammenstilling av opplysninger kan likevel føre til at den samlede informasjonsmengden får et større skadepotensial enn enkeltopplysningene. Det er derfor være nødvendig å verdivurdere den samlede informasjonsmengden. Det vil også være nødvendig å gjøre nye verdivurderinger ved ny sammenstilling med annen informasjon.

En sammenstilling av ugraderte opplysninger skal sikkerhetsgraderes om sammenstillingen avslører ytterligere assosiasjoner eller relasjoner som (1) ikke på annen måte er avslørt i de individuelle opplysningene, og (2) der disse ytterligere assosiasjonene eller relasjonene i seg selv har et skadepotensial for nasjonale sikkerhetsinteresser.

Tilsvarende skal en sammenstilling av lavere graderte opplysninger gis en høyere sikkerhetsgrad om sammenstillingen avslører ytterligere assosiasjoner eller relasjoner som (1) ikke på annen måte er avslørt i de individuelle opplysningene, og (2) der disse ytterligere assosiasjonene eller relasjonene i seg selv har et større skadepotensial for nasjonale sikkerhetsinteresser enn enkeltopplysningene.

Den som verdivurderer må også vurdere om en sammenstilling av lavere graderte opplysninger innebærer et akkumulert skadepotensial som krever en høyere sikkerhetsgrad enn enkeltopplysningene. Eksempelvis er opplysninger om klassifiseringsnivåene for skjermingsverdige objekter og infrastruktur sikkerhetsgradert BEGRENSET eller høyere. En oversikt over samtlige eller et større antall klassifiserte objekter og infrastrukturer skal derimot sikkerhetsgraderes KONFIDENSIELT eller høyere (§ 57 i virksomhetssikkerhetsforskriften).

Virksomheten må vurdere om en samlet informasjonsmengde representerer et mer omfattende eller alvorlig skadepotensial enn skadepotensialet relatert til de enkelte opplysningene. Utfallet av en slik vurdering kan være:

  • Informasjonsmengden har ikke et større skadepotensial enn enkeltopplysningene, og informasjonsmengden blir derfor gitt samme gradsnivå som enkeltopplysningen(e) med høyeste sikkerhetsgrad, eller
  • Informasjonsmengden har et større skadepotensial enn enkeltopplysningene, dermed beholder hver enkelt opplysning som inngår i informasjonsmengden sin sikkerhetsgrad, mens den samlede informasjonsmengden gis en høyere sikkerhetsgrad.

Sammenstilt sikkerhetsgradert informasjon som inneholder komponenter fra ulike utenlandske myndigheter og/eller internasjonale organisasjoner skal ikke nedgraderes eller avgraderes uten skriftlig forhåndssamtykke fra kompetent myndighet i det aktuelle land eller organisasjon. Ved gjenbruk og sammenstilling av ulike opplysninger med ulike utstedende virksomheter, må det klart kunne identifiseres hvem som er informasjonseier av de enkelte delene.