§ 77 Beskyttelse av personopplysninger for klarering og autorisasjon

Den autorisasjonsansvarlige skal bestemme hvem i virksomheten som kan få tilgang til opplysninger merket PERSONKONTROLL. Slike opplysninger skal lagres atskilt fra andre opplysninger i virksomheten, og de skal bare være tilgjengelige for det utpekte personellet.

 

Når virksomheter utveksler opplysninger merket PERSONKONTROLL, skal det gjøres på en slik måte at uvedkommende ikke får tilgang til opplysningene.

Bestemmelsene i paragrafen skal motvirke unødig spredning av skjermingsverdig og personsensitiv informasjon, både av hensyn til grunnleggende sikkerhetsinteresser og av hensyn til den enkeltes personvern og den alminnelige tillit til sikkerhetstjenesten.

Selv om en enkeltpersons gitte sikkerhetsklarering ikke anses å være sikkerhetsgradert informasjon, vil oversikter som helt eller delvis gir et kompletterende bilde av gitte sikkerhetsklareringer og deres nivåer innen en virksomhet eller avdeling av denne, slik NSM ser det, være skjermingsverdig etter sikkerhetslovens § 5-1, beskyttes etter sikkerhetsloven § 5-2 og måtte sikkerhetsgraderes etter sikkerhetslovens § 5-3.

NSM legger til grunn at det skal fremgå av virksomhetens oversikt over personell med autorisasjon hvem som er autorisert for PERSONKONTROLL.

Ved elektronisk lagring og forsendelse må informasjonssystemet være godkjent for det graderingsnivået personkontrollinformasjonen har, jf. VF § 7, og være sikret slik at kun personell som er autorisert for PERSONKONTROLL får tilgang til informasjonen. Dersom personopplysninger for klarering og autorisasjon skal lagres i papirformat legger NSM til grunn at dokumentasjonen må lagres i individuelle mapper, og oppbevares slik at kun personell som er autorisert for PERSONKONTROLL får tilgang.

Dersom informasjonen sendes fysisk som post eller liknende, må informasjonen beskyttes i samsvar med VF kapittel 6. NSM legger til grunn at også personkontrollopplysninger gradert BEGRENSET bør sendes i dobbel emballasje samsvar med VF § 36, hvor den indre emballasjen forsegles og merkes med sikkerhetsgrad og PERSONKONTROLL. Indre emballasje bør adresseres til virksomhetens leder eller den som har fått delegert autorisasjonsmyndighet. På denne måten vil kravet i bestemmelsens andre ledd om at opplysningene skal sikres slik at ikke uvedkommende får tilgang til opplysningene, kunne oppfylles.