Sammanfattning
Riksrevisionen har granskat Säkerhetspolisens säkerhetsunderrättelseverksamhet (med säkerhetsunderrättelseverksamhet avses arbetet med kontraspionage, kontraterrorism samt författningsskydd) och arbete med säkerhetsskydd samt styrningen av myndigheten.
Säkerhetspolisen är en myndighet som har stor betydelse för att skydda Sverige, vår demokrati och våra grundläggande fri- och rättigheter. Till följd av den senaste tidens kraftigt försämrade omvärldsläge samt en förhöjd terrorhotnivå i och mot Sverige har Säkerhetspolisen en synnerligen viktig uppgift att värna Sveriges säkerhet. Riksrevisionen har dessutom aldrig tidigare granskat Säkerhetspolisens verksamhet ur ett effektivitetsperspektiv, frånsett ett antal gånger i mycket begränsade delar när det haft bäring på andra myndigheter som granskats.
Läs mer
Sedan Säkerhetspolisen avskildes från dåvarande Rikspolisstyrelsen och blev en självständig myndighet 2015 har myndigheten växt, sett till både pengar och personal. Under samma period ökade anslaget med 114 procent.
Riksrevisionens samlade bedömning är att det finns flera effektivitetsbrister i Säkerhetspolisens verksamhet. Bristerna är dock enligt Riksrevisionen möjliga att åtgärda.
Det finns otydligheter i Säkerhetspolisens interna styrning och kontroll. Förutsättningarna för att kunna bedriva verksamheten effektivt är också delvis otillräckliga, dels för att det finns författningar som lägger hinder i vägen, dels på grund av resursbrist.
Granskningen visar också att det finns möjligheter att åstadkomma effektivitetsförbättringar i verksamheten. Det pågår ett antal insatser som syftar till att utveckla verksamheten, till exempel i fråga om intern utbildning. Det finns även prov på avslutade utvecklingssatsningar med goda resultat, exempelvis genom att effektivisera registerkontrollen så att de tidigare långa handläggningstiderna numera är mycket korta.
Rekommendationer
I syfte att stärka effektiviteten i Säkerhetspolisens verksamhet lämnar Riksrevisionen följande rekommendationer.
Till regeringen
- utöva en mer aktiv styrning av Säkerhetspolisen genom att efterfråga mer information om hur verksamheten fortlöper.
Till Säkerhetspolisen
- Delge underrättelseprodukter till Regeringskansliet i större utsträckning.
- Inrikta tillsynen av säkerhetsskyddet mer mot säkerhetsskyddsåtgärderna fysiskt skydd, informationssäkerhet och personalsäkerhet, genomför tillsyn i fler fall samt lämna mer stöd i enskilda fall till verksamhetsutövarna.
- Delge alltid anmälda säkerhetshotande händelser skyndsamt till berörd tillsynsmyndighet för den verksamhetsutövare där händelsen har inträffat.
- Ändra Säkerhetspolisens föreskrifter om säkerhetsskydd på följande sätt:
- att verksamhetsutövare ska lämna grundutredningen till Säkerhetspolisen för dem som myndigheten ska hålla personliga samtal med
- att verksamhetsutövare vid beslut om fastställande eller uppdatering av säkerhetsskyddsanalys och säkerhetsskyddsplan ska lämna dessa till tillsynsmyndigheten, och till Säkerhetspolisen om annan myndighet än Säkerhetspolisen är tillsynsmyndighet
- att verksamhetsutövares säkerhetsskyddsorganisation ska vara beskriven i säkerhetsskyddsanalysen.
- Fastställ en tydlig rutin för särskilda personutredningar inklusive personliga samtal inför placering i säkerhetsklass.
- Förtydliga och konkretisera den interna styrningen och processerna för den öppna informationsinhämtningen och informationsbearbetningen.
- Öka bemanningen vid de regionala sektionerna så att de behov som finns kan tillgodoses, samt ge sektionerna ökade befogenheter vid samverkan med andra myndigheter regionalt.
1. Inledning
1.1 Motiv till granskning
Säkerhetspolisen är en myndighet som har stor betydelse för att skydda Sverige, vår demokrati och våra grundläggande fri- och rättigheter. Till följd av den senaste tidens kraftigt försämrade omvärldsläge samt en förhöjd terrorhotnivå i och mot Sverige har Säkerhetspolisen en synnerligen viktig uppgift att värna Sveriges säkerhet. Riksrevisionen har dessutom aldrig tidigare granskat Säkerhetspolisens verksamhet ur ett effektivitetsperspektiv, frånsett ett antal gånger i mycket begränsade delar när det haft bäring på andra myndigheter som granskats.
Sedan Säkerhetspolisen avskildes från dåvarande Rikspolisstyrelsen och blev en självständig myndighet 2015 har myndigheten växt, sett till både pengar och personal. Under samma period ökade anslaget med 114 procent.
Det finns således skäl att granska effektiviteten i Säkerhetspolisens verksamhet.
1.2 Övergripande revisionsfråga och avgränsningar
Granskningens övergripande revisionsfråga är om Säkerhetspolisens arbete för att värna Sveriges säkerhet är effektivt.[1] Granskningen omfattar även hur regeringen har styrt Säkerhetspolisen. Den tidsperiod som har granskats är från och med 2015, då Säkerhetspolisen blev en självständig myndighet, till och med oktober 2024.
1.2.1 Delfrågor
- Är Säkerhetspolisens säkerhetsunderrättelseverksamhet effektiv?
- Är Säkerhetspolisens arbete med säkerhetsskydd effektivt?
- Är styrningen av Säkerhetspolisen effektiv?
Säkerhetsunderrättelseverksamheten, som delfråga 1 avser, omfattar det arbete som bedrivs inom ramen för verksamhetsområdena kontraspionage, kontraterrorism och författningsskydd. Delfråga 3 avser såväl regeringens styrning av Säkerhetspolisen som dess interna styrning inklusive det egna säkerhetsskyddet. Se mer om detta i kapitel 2.
1.2.2 Avgränsningar
Riksrevisionen har i granskningens inledningsskede analyserat Säkerhetspolisens organisation och funnit att denna inriktning av granskningen omfattar det mest granskningsvärda i förhållande till såväl risker för potentiella effektivitetsbrister som det läge Sverige befinner sig i för närvarande.
Av delfrågorna framgår granskningens omfattning. Granskningen omfattar dock inte följande delar av Säkerhetspolisens verksamhet:
- verksamhetsområde personskydd (skyddet av den centrala statsledningen)
- brottsutredningar
- utlänningsärenden
- förhindrande av spridning, anskaffning och produktion av massförstörelsevapen
- IT- och teknikavdelningens verksamhet, såvida det inte direkt påverkar säkerhetsunderrättelse- och säkerhetsskyddsverksamheten.
1.3 Bedömningsgrunder
Riksrevisionens utgångspunkter för att bedöma effektiviteten i Säkerhetspolisens arbete är följande.
- Säkerhetspolisens verksamhet ska leda till att hot och sårbarheter reduceras, så att Sveriges säkerhet kan upprätthållas.[2]
- Säkerhetspolisens verksamhet ska bedrivas effektivt, enligt gällande rätt och ska fortlöpande utvecklas.[3]
- Säkerhetspolisens myndighetsledning ska se till att det finns en process för intern styrning och kontroll som fungerar på ett betryggande sätt.[4]
Av dessa utgångspunkter följer till exempel att:
- Säkerhetspolisen ska ha förmåga att snabbt kunna anpassa sig till nya förhållanden och förutsättningar
- Säkerhetspolisen ska ha förmåga att samverka med både andra relevanta myndigheter och underrättelse- och säkerhetstjänster
- personalen ska ha den kompetens som behövs för att klara uppdraget.
Utgångspunkterna har sedan operationaliserats så att de ska motsvara rimliga krav att ställa på verksamheten.
1.3.1 Operationaliserade bedömningsgrunder till delfråga 1
För att svara på frågan om Säkerhetspolisens säkerhetsunderrättelsearbete är effektivt utgår vi från ovanstående utgångspunkter samt de författningsstyrda krav[5] och interna regler[6] som styr arbetet. Därutöver har vi gjort rimlighetsbedömningar med tonvikt på i vilken utsträckning verksamheten bidrar till att förebygga och avslöja brott mot Sveriges säkerhet samt bekämpa terrorism.
Riksrevisionen bedömer att Säkerhetspolisens säkerhetsunderrättelseverksamhet är effektiv om:
- nödvändig inriktning, inhämtning, bearbetning, analys och delgivning av information sker när det är påkallat och leder till åtgärder[7] som reducerar hoten
- Säkerhetspolisens styrning och processer för inriktning, inhämtning, bearbetning, analys och delgivning av information utgör ett stöd för verksamheten, och att dessa för arbetet framåt
- personalen arbetar systematiskt, enhetligt och rättssäkert
- det finns tillräckligt med administrativt och tekniskt stöd samt nödvändig kompetens, exempelvis inom språk, teknik och praktiskt utförande
- resurserna används på ett effektivt sätt, exempelvis genom att personalen får arbetsuppgifter, att dessa motsvarar personalens kompetens samt att det finns mandat och andra förutsättningar som behövs för att utföra uppgifterna
- Säkerhetspolisen har förmåga att samverka med andra relevanta myndigheter och underrättelse- och säkerhetstjänster.
1.3.2 Operationaliserade bedömningsgrunder till delfråga 2
För att svara på frågan om Säkerhetspolisens arbete med säkerhetsskydd är effektivt utgår vi från författningsstyrda krav[8] och rimlighetsbedömningar.
Riksrevisionen bedömer att Säkerhetspolisens arbete med säkerhetsskydd är effektivt om:
- Säkerhetspolisens arbete bidrar till ett gott säkerhetsskydd
- Säkerhetspolisens tillsyn av statliga myndigheters säkerhetsskydd sker med rimlig frekvens, prioriteras med utgångspunkt i identifierade risker samt följs upp på ett lämpligt sätt
- de personer som arbetar med säkerhetsskydd har tillgång till de underrättelser de behöver
- Säkerhetspolisens vägledningar har en rimlig grad av konkretion
- Säkerhetspolisens samordningsansvar i relation till övriga tillsynsmyndigheter bedrivs så att en enhetlig och kvalitativ tillsyn säkerställs genom ett systematiskt informations- och erfarenhetsutbyte
- Säkerhetspolisen samverkar med Försvarsmakten (Must) på ett lämpligt sätt med utgångspunkt i myndigheternas respektive samordningsansvar.
1.3.3 Operationaliserade bedömningsgrunder till delfråga 3
För att svara på frågan om styrningen av Säkerhetspolisen är effektiv använder vi oss av följande bedömningsgrunder.
Riksrevisionen bedömer att styrningen av Säkerhetspolisens är effektiv om:
- regeringens inriktning av Säkerhetspolisen är tydlig
- uppföljning och återrapportering av arbetet ger regeringen ett relevant beslutsunderlag för att styra Säkerhetspolisen
- Säkerhetspolisens process för intern styrning och kontroll är spårbar
- Säkerhetspolisen hanterar de risker i verksamheten som uppstår, i synnerhet de högre riskerna
- Säkerhetspolisen säkerställer att det egna säkerhetsskyddet är ändamålsenligt sett till myndighetens uppdrag, vilket förutsätter en väl fungerande intern styrning i form av exempelvis tydliga styrdokument och strukturerad uppföljning och utvärdering
- Säkerhetspolisen uppfyller de krav som finns i förordningen (2022:524) om statliga myndigheters beredskap om att minska sårbarheten i samhället samt att utveckla en god förmåga att hantera sina uppgifter vid fredstida krissituationer och höjd beredskap
- Säkerhetspolisen i övrig skapat rimliga förutsättningar för civil beredskap i form av redundans, robusthet och prioriteringar.
1.4 Metod och genomförande
Företrädare för Regeringskansliet (Justitiedepartementet) och Säkerhetspolisen har fått tillfälle att faktagranska och i övrigt lämna synpunkter på ett utkast till granskningsrapport.
Granskningen har av sekretess- och säkerhetsskäl till stora delar genomfört på plats på Säkerhetspolisens huvudkontor. Insamling av relevanta fakta har huvudsakligen genomförts genom intervjuer, dokumentgranskning och två enkätundersökningar.
Det finns delar av verksamheten som är granskade, men som inte är möjliga att beskriva i denna rapport på grund av sekretess. Regeringskansliet och Säkerhetspolisen har i särskild ordning delgivits en närmare redogörelse för resultatet av granskningen.
1.4.1 Intervjuer
Vi har intervjuat berörda avdelningschefer och enhetschefer på Säkerhetspolisen. Vi har också intervjuat ett antal sektionschefer, gruppchefer, operativa handläggare och olika specialistbefattningar. På Regeringskansliet har företrädare för Justitiedepartementet, Försvarsdepartementet, Utrikesdepartementet samt Statsrådsberedningen blivit intervjuade. Därutöver har vi intervjuat företrädare för Försvarsmakten (Must[9]) och Försvarets radioanstalt (FRA). Sammanlagt har det skett vid 116 intervjutillfällen och berört 113 personer.[10]
1.4.2 Dokumentgranskning
Vi har tagit del av ett omfattande antal dokument från Säkerhetspolisen. Det gäller olika styrdokument, rapporter från verksamhetskontrollen[11], internrevisionsrapporter, analysrapporter (strategiska, operativa och taktiska) samt ett flertal andra dokument med bäring på såväl kärnverksamheten som administrativt stöd. Vi har även tagit del av vissa dokument från Regeringskansliet. Utöver detta har vi i kompletterande syfte läst litteratur om underrättelse- och säkerhetsverksamhet.
1.4.3 Enkätundersökning
Att granska säkerhetsunderrättelseverksamhet genom enkätundersökning är inte möjligt av sekretesskäl. När det gäller säkerhetsskyddet har vi dock bedömt att det är möjligt och därför genomfört två olika enkätundersökningar: dels till de civila myndigheter som utövar tillsyn och som Säkerhetspolisen har ett samordningsansvar för, dels till de myndigheter som står direkt under Säkerhetspolisens tillsyn.[12]
1.4.4 Deltagande observation
Riksrevisionen har deltagit som observatör på plats på en myndighet som varit föremål för Säkerhetspolisens tillsyn avseende fysisk säkerhet.
2. Kort om den granskade verksamheten
Säkerhetspolisen verkar inom fem områden, varav fyra är föremål för denna granskning: kontraspionage, kontraterror, författningsskydd och säkerhetsskydd. De tre förstnämnda områdena bedrivs inom ramen för det som kallas säkerhetsunderrättelseverksamhet. Här följer en kortfattad beskrivning av de granskade områdena.
2.1 Säkerhetsunderrättelseverksamheten
En av Säkerhetspolisens huvuduppgifter är att förebygga, förhindra och upptäcka brottslig verksamhet som innefattar brott mot rikets säkerhet eller terrorbrott.[13] Tyngdpunkten i uppdraget är att förhindra att brott överhuvudtaget begås.[14]
Säkerhetsunderrättelseverksamhet innebär enligt Säkerhetspolisens definition att inhämta information om hot och vidta åtgärder för att reducera hot. Utifrån hotens art hanteras de inom verksamhetsområdena kontraspionage, kontraterrorism och författningsskydd. Kontraspionage innebär att Säkerhetspolisen bedriver verksamhet för att motverka olovlig underrättelseverksamhet från främmande makt. Kontraterror handlar om att Säkerhetspolisen verkar för att förhindra terroristattentat och andra terrorbrott. För att motverka aktörer som på olika otillåtna sätt söker påverka det demokratiska statsskickets funktioner arbetar Säkerhetspolisen i verksamhetsområdet författningsskydd.
En viktig förutsättning för att Säkerhetspolisen ska kunna utföra sitt uppdrag med goda resultat är att myndigheten kan identifiera och hämta in uppgifter om brottslig verksamhet på ett tidigt stadium, innan en person eller gruppering har konkreta planer eller har vidtagit åtgärder för att begå brott.[15] Detta sker bland annat i säkerhetsunderrättelseverksamheten genom inhämtning av relevanta uppgifter som sedan bearbetas och analyseras. Underrättelseprodukterna kan ligga till grund för intern eller extern[16] delgivning och utmynna i operativa åtgärder för att reducera säkerhetshot såsom spioneri, olovlig underrättelseverksamhet, subversion eller terrorism. Verksamheten syftar till att ge ett informationsövertag gentemot motståndaren och ska vara möjlig att agera på.[17]
2.2 Säkerhetsskyddsverksamheten[18]
Säkerhetspolisen har en central roll inom arbetet med säkerhetsskydd i Sverige. Med säkerhetsskydd avses framför allt skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten. Säkerhetskänslig verksamhet är sådan verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd. Sådan verksamhet bedrivs av flera statliga myndigheter, kommuner och regioner samt ett antal privata företag.
Den som till någon del bedriver säkerhetskänslig verksamhet (verksamhetsutövaren) är skyldig att utreda behovet av säkerhetsskydd och dokumentera det i en säkerhetsskyddsanalys. Säkerhetsskyddsanalysen utgör grunden i ett systematiskt säkerhetsskyddsarbete, och ska svara på tre frågor.
- Hanterar verksamhetsutövaren säkerhetsskyddsklassificerade uppgifter eller disponerar den över anläggningar, objekt, system, egendom eller andra tillgångar av betydelse för Sveriges säkerhet? Det kan också vara fråga om det finns verksamhet som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd.
- Vilka säkerhetshot finns mot verksamheten, och vilka sårbarheter finns i verksamheten?
- Vilka åtgärder bör vidtas för att skydda verksamheten?
Efter det att säkerhetsskyddsanalysen är fastställd ska verksamhetsutövaren utforma en säkerhetsskyddsplan. Denna ska beskriva hur behovet av åtgärder som identifierats i analysen ska omhändertas, när dessa ska vidtas och vem som ska göra det.
Det är inom tre olika områden som åtgärder behöver vidtas för att uppnå ett gott säkerhetsskydd: informationssäkerhet, fysisk säkerhet och personalsäkerhet.
Informationssäkerhet avser skydd för säkerhetsskyddsklassificerade uppgifter, såväl uppgifterna i sig som de tekniska system som handhar uppgifterna. Säkerhetsskyddet ska förebygga att uppgifter som är sekretessbelagda och har betydelse för Sveriges säkerhet obehörigen blir röjda, ändrade, förstörda eller otillgängliggjorda.
Fysisk säkerhet avser skydd av områden, byggnader och andra anläggningar eller objekt där säkerhetsskyddsklassificerade uppgifter förvaras eller annars behandlas, eller där säkerhetskänslig verksamhet i övrigt bedrivs. Där ska det finnas funktioner för att upptäcka, försvåra och hantera obehörigt tillträde och skadlig inverkan.
Personalsäkerhet avser personer som ska hantera säkerhetskänsliga uppgifter, och innebär att dessa ska bli säkerhetsprövade och utbildade i säkerhetsskydd. Säkerhetsprövningen ska klargöra om personerna är pålitliga från säkerhetssynpunkt, lojala mot skyddsvärdena samt om de kan vara sårbara i säkerhetshänseende. Säkerhetsprövningen omfattar en grundutredning samt registerkontroll och särskild personutredning. Som huvudregel är det den som beslutar om anställning eller annat deltagande i säkerhetskänslig verksamhet som genomför grundutredningen.
Säkerhetspolisen genomför kontroller av de personer som ska delta i säkerhetskänslig verksamhet mot bland annat misstanke- och belastningsregistren. Registerkontrolldelegationen vid Säkerhets- och integritetsskyddsnämnden (SIN) beslutar om vilka uppgifter som får lämnas ut till den arbets- eller uppdragsgivare som har ansökt om registerkontrollen. För personer som får en befattning i den högsta säkerhetsklassen ska Säkerhetspolisen också genomföra ett personligt samtal om det inte står klart att samtalet inte behövs.
Verksamhetsutövare som bedriver säkerhetskänslig verksamhet ska ha en säkerhetsskyddschef, om det inte är uppenbart obehövligt. Säkerhetsskyddschefen ska vara direkt underställd chefen för verksamhetsutövarens verksamhet, om en sådan chef finns, och annars verksamhetsutövarens ledning. Säkerhetsskyddschefen ska leda och samordna säkerhetsskyddsarbetet samt kontrollera att verksamheten bedrivs enligt säkerhetsskyddslagen, säkerhetsskyddsförordningen samt övriga föreskrifter som har meddelats i anslutning till säkerhetsskyddslagen.
Säkerhetspolisen utövar tillsyn över ett antal[19] statliga myndigheters säkerhetsskyddsarbete samt tar fram vägledningar om säkerhetsskydd. Säkerhetspolisen är, tillsammans med Försvarsmakten, även samordningsmyndighet för övriga tillsynsmyndigheter inom säkerhetsskydd.
Om det inträffar en säkerhetshotande händelse hos en verksamhetsutövare, ska den skyndsamt anmäla detta till Säkerhetspolisen. Säkerhetshotande händelser (nedan incidenter) kan vara att en säkerhetsskyddsklassificerad uppgift kan ha blivit tillgänglig för personer som inte har behörighet att ta del av den, exempelvis i ett informationssystem, eller att obehöriga har fått tillträde till fysiska platser där säkerhetskänslig verksamhet bedrivs. Den inrapporterade informationen ligger till grund för Säkerhetspolisens utredning av incidenten, och är en viktig del i det övergripande ansvaret för att skapa ett starkare nationellt säkerhetsskydd.
2.3 Styrningen av Säkerhetspolisen
Säkerhetspolisen sorterar under Justitiedepartementet (polisenheten). Verksamheten leds av säkerhetspolischefen. Det finns också en biträdande säkerhetspolischef.[20] Under dessa befattningar är verksamheten indelad i avdelningar, som i sin tur är indelade i enheter, sektioner och grupper. Vid en av avdelningarna finns en regional enhet med sektioner placerade i Umeå, Uppsala, Linköping, Malmö, Göteborg och Örebro.
3. Slutsatser och rekommendationer
Riksrevisionen har granskat om Säkerhetspolisens arbete för att värna Sveriges säkerhet är effektivt. Även regeringen omfattas av granskningen. Nedan redovisas Riksrevisionens iakttagelser och slutsatser. Därefter följer Riksrevisionens rekommendationer till regeringen och Säkerhetspolisen. Av sekretesskäl redogör vi för delar av, men inte hela, granskningens resultat.
Riksrevisionens samlade bedömning är att det finns flera effektivitetsbrister i Säkerhetspolisens verksamhet. Bristerna är dock enligt Riksrevisionen möjliga att åtgärda.
Det finns otydligheter i Säkerhetspolisens interna styrning och kontroll. Förutsättningarna för att kunna bedriva verksamheten effektivt är också delvis otillräckliga, dels för att det finns författningar som lägger hinder i vägen, dels på grund av resursbrist.
Granskningen visar också att det finns möjligheter att åstadkomma effektivitetsförbättringar i verksamheten. Det pågår ett antal insatser som syftar till att utveckla verksamheten, till exempel i fråga om intern utbildning. Det finns även prov på avslutade utvecklingssatsningar med goda resultat, exempelvis genom att effektivisera registerkontrollen så att de tidigare långa handläggningstiderna numera är mycket korta.
Nedan följer en sammanfattande redogörelse för Riksrevisionens iakttagelser, slutsatser och rekommendationer. Riksrevisionen redovisar ytterst få iakttagelser och slutsatser beträffande säkerhetsunderrättelseverksamheten och verksamhetsområdena kontraspionage, kontraterror och författningsskydd av sekretesskäl.
3.1 Begränsad delgivning av underrättelseprodukter
Samverkan mellan Säkerhetspolisen, andra myndigheter och utländska partner uppges fungera mycket väl. Säkerhetspolisen delger Regeringskansliet[21] information. Enligt Riksrevisionens bedömning kan dock Regeringskansliet ha nytta av fler av Säkerhetspolisens underrättelseprodukter, exempelvis hotinformation samt de strategiska och operativa analyserna. Detta för att få en bättre samlad lägesbild av underrättelseinformationen och bättre förutsättningar att styra riket. Först under år 2024, efter bildandet av Statsrådsberedningens underrättelsekansli, har Regeringskansliet börjat efterfråga sådana mer frekvent av Säkerhetspolisen.
3.2 Tillsynen inom säkerhetsskydd kan förbättras
Granskningen visar att tillsynen inom säkerhetsskydd alltför mycket är inriktad mot företeelser som är förutsättningsskapande (säkerhetsskyddsanalyser, säkerhetsskyddplaner och organisatorisk placering av säkerhetsskyddschef), och mindre mot faktiska åtgärder för att upprätthålla personalsäkerhet, fysisk säkerhet och informationssäkerhet. Riksrevisionen anser därför att det borde vara fler tillsynsärenden som genomförs, framför allt mot faktiska säkerhetsåtgärder.
Riksrevisionen kan också konstatera att verksamhetsutövare inte delger sina säkerhetsskyddsanalyser och säkerhetsskyddsplaner till sina tillsynsmyndigheter. Verksamhetsutövarna är i dag inte skyldiga att delge säkerhetsskyddanalys, säkerhetsskyddsplan eller beskriva sin säkerhetsskyddsorganisation i säkerhetsskyddsanalysen. Enligt Riksrevisionens bedömning är det väsentliga brister som gör det svårare för tillsynsmyndigheterna att planera sin verksamhet.
Säkerhetspolisens säkerhetsskyddsverksamhet är ett ansvarsområde som omgärdas av ett omfattande regelverk och komplexitet. Det finns omständigheter som har påverkat verksamheten negativt. Trots det har arbetet med registerkontrollen och med att utveckla områdena tillsyn och vägledning förbättrats. Säkerhetspolisen har också skrivit vägledningar, som Riksrevisionen bedömer, ger ett gott stöd åt verksamhetsutövarna. Tillsammans med Försvarsmakten har Säkerhetspolisen utvecklat samordningsansvaret för tillsynsmyndigheterna i en positiv riktning. Metodstöden för vägledning skulle dock kunna utvecklas än mer.
Riksrevisionen konstaterar också att det råder ett visst motsatsförhållande mellan att ge råd i specifika fall och att utöva tillsyn, oavsett om råden ges i samband med ett pågående tillsynsärende eller inte. Vår enkät visar också att flera verksamhetsutövare efterfrågar mer rådgivning. De uttalanden som finns i förarbetena till den senaste översynen av säkerhetsskyddslagen är att tillsynsmyndigheterna som utgångspunkt inte bör lämna råd om vad som bör göras i ett specifikt fall utan i stället lämna upplysningar om regleringens innebörd, hur den ska tolkas samt metoder för hur regleringen ska uppfyllas. Riksrevisionen anser att förarbetena lämnar ett visst utrymme för att lämna mer konkret stöd i frågor om säkerhetsskydd.[22] Med beaktande av de konsekvenser ett bristande säkerhetsskydd kan få för Sveriges säkerhet bör Säkerhetspolisen i större utsträckning använda det utrymme som finns för att lämna mer stöd i enskilda fall än vad som sker i dag.
När en incident har inträffat hos en verksamhetsutövare som bedriver säkerhetskänslig verksamhet ska detta snarast anmälas till Säkerhetspolisen. Enligt rådande rutin vid Säkerhetspolisen delges inte berörd tillsynsmyndighet[23] att det har skett en incident förrän Säkerhetspolisen har utrett incidenten. En incidentutredning kan ta lång tid, och under den tiden får berörd tillsynsmyndighet inte information av Säkerhetspolisen om att det skett en incident hos verksamhetsutövaren eller att Säkerhetspolisen utreder den. Särskilt viktigt för den berörda tillsynsmyndigheten är att veta om en incident har ägt rum och vad den omfattar, samt om det pågår eller planeras en tillsyn hos verksamhetsutövaren.
3.3 Registerkontroller har blivit effektivare, men personliga samtal kan effektiviseras
Samtidigt som arbetet med registerkontroll har effektiviserats, bedömer Riksrevisionen att det finns en risk för att de personliga samtal som Säkerhetspolisen genomför med personer som kan komma att placeras i framför allt säkerhetsklass 1 nästan uteslutande informerar om risker och sårbarheter. Enligt Riksrevisionen behöver Säkerhetspolisen med tanke på det allvarligt försämrade omvärldsläget lägga större tonvikt vid att bedöma personernas lojalitet, pålitlighet och sårbarhet vid samtalet.
Riksrevisionen bedömer vidare att Säkerhetspolisens arbete med personliga samtal och särskilda utredningar inför säkerhetsklassning kan behöva utvecklas både när det gäller inriktning och vilka underlag som ska användas. Det finns i dag till exempel inga krav på att verksamhetsutövaren som genomför grundutredningen ska lämna den till Säkerhetspolisen inför att myndigheten ska hålla personliga samtal.
3.4 Regeringen styr i för liten utsträckning
Regeringen har inte varit tillräckligt aktiv i sin styrning av Säkerhetspolisen och bör enligt Riksrevisionen efterfråga mer information om tillståndet i verksamheten. Riksrevisionen bedömer att regeringen i högre grad borde säkerställa att Säkerhetspolisen arbetar effektivt, inte minst eftersom det är en av de viktigaste aktörerna för att upprätthålla säkerheten i Sverige.
3.5 Den interna styrningen är delvis otydlig
Säkerhetspolisen styrs både vertikalt och horisontellt vilket gör den interna styrningen komplicerad. Ansvar och befogenheter över resurserna kan då bli otydligt. I förlängningen föreligger en risk att Säkerhetspolisen kan komma att agera sent för att förhindra oönskade företeelser. Den öppna informationsinhämtningen och informationsbearbetningen är två områden där den interna styrningen kan förtydligas och bli mer konkret.
Den interna riskhanteringen är svår att bringa klarhet i. Detta eftersom det saknas spårbarhet i vad som har hänt mellan de tre uppföljningarna som sker av riskerna under ett verksamhetsår. Riksrevisionen kan inte utesluta att det finns en viss risk för att åtgärder som behöver genomföras fördröjs eller lämnas utan avseende.
Säkerhetspolisens sex regionala sektioner har en varierande bemanning. Personalen vid dessa sektioner har bland mycket annat ansvar för att samverka med andra myndigheter på regional nivå. Vid denna samverkan har dock flera av de övriga myndigheterna större mandat på den regionala nivån.
Säkerhetspolisen har även varit långsam med att fastställa en uppdaterad version av sin egen säkerhetsskyddsanalys som fastställdes 2020, vilket ska göras åtminstone vartannat år.[24] Det innebär att Säkerhetspolisen i den delen, fram till december 2023, inte har levt upp till de krav man ställer på de verksamhetsutövare som man utövar tillsyn över.
3.6 Civil beredskap
Säkerhetspolisen har sedan 2022 intensifierat sitt arbete med att planera för kriser och krig.
3.7 Förutsättningarna är otillräckliga
Granskningen visar tydligt ett antal brister i förutsättningarna för att Säkerhetspolisens verksamhet ska kunna bedrivas effektivt. Det går att hänföra dessa brister till två kategorier: resursproblem och författningshinder.
Resursproblemen har till exempel bestått i att den interna organisationen, främst inom enheter, har förändrats förhållandevis ofta. Detta har medfört att det har funnits personal som har behövt använda arbetstid till att ta fram nya interna processer och rutiner i stället för att ägna den åt myndighetens huvudsakliga uppgifter. Då finns en risk att missa väsentlig information i arbetet. Många chefstjänster bemannas också av tillförordnade chefer, ibland under relativt lång tid. Även om personer som haft tillgång till säkerhetsskyddsklassificerad information slutar behöver det inte innebära att erfarenheter används i andra syften än att värna Sveriges säkerhet, men det finns ändå en viss risk för det.
Författningshindren består framför allt i att Säkerhetspolisen för att klara sitt uppdrag behöver behandla personuppgifter, ofta under lång tid. Säkerhetspolisen får i dag inte behandla personuppgifter så länge som myndigheten anser att den behöver för att kunna utföra sitt uppdrag.[25] Inte minst främmande statliga aktörer arbetar synnerligen långsiktigt, och då skulle det vara värdefullt att kunna få behandla personuppgifter under en längre tid än vad som är tillåtet i dag. Det är också viktigt att Säkerhetspolisen har möjlighet att kunna använda artificiell intelligens för att bearbeta de stora datamängder myndigheten behöver hantera för att klara sitt uppdrag. Det pågår en översyn av de bestämmelser som reglerar Säkerhetspolisens behandling av personuppgifter som rör nationell säkerhet.[26]
Säkerhetspolisen behöver enligt Riksrevisionen ha bättre förutsättningar att kunna arbeta effektivt, inte minst genom att över lång tid kunna arbeta med att koppla samman olika personer som utgör hot mot Sverige. Självfallet måste integritetsaspekter beaktas och vägas mot vilka möjligheter som finns för att göra Sverige säkrare. Enligt Riksrevisionen är det dock inte säkert att det integritetsintrång som sparade personuppgifter utgör skulle väga tyngre än att ha bättre möjligheter att hantera eventuella hot mot människors liv och hälsa. Nuvarande gallringsregler framstår därför som effektivitetshindrande.
I jämförelse med Säkerhetspolisen har Försvarsmakten och Försvarets radioanstalt betydligt mer tillåtande regler för hur länge personuppgifter får sparas. Dessa får behandlas så länge det behövs med hänsyn till ändamålet.[27]
3.8 Rekommendationer
I syfte att stärka effektiviteten i Säkerhetspolisens verksamhet lämnar Riksrevisionen följande rekommendationer.
Till regeringen
- Utöva en mer aktiv styrning av Säkerhetspolisen genom att efterfråga mer information om hur verksamheten fortlöper.
Till Säkerhetspolisen
- Delge underrättelseprodukter till Regeringskansliet i större utsträckning.
- Inrikta tillsynen av säkerhetsskyddet mer mot säkerhetsskyddsåtgärderna fysiskt skydd, informationssäkerhet och personalsäkerhet, genomför tillsyn i fler fall samt lämna mer stöd i enskilda fall till verksamhetsutövarna.
- Delge alltid anmälda säkerhetshotande händelser skyndsamt till berörd tillsynsmyndighet för den verksamhetsutövare där händelsen har inträffat.[28]
- Ändra Säkerhetspolisens föreskrifter om säkerhetsskydd på följande sätt:
- att verksamhetsutövare ska lämna grundutredningen till Säkerhetspolisen för dem som myndigheten ska hålla personliga samtal med
- att verksamhetsutövare vid beslut om fastställande eller uppdatering av säkerhetsskyddsanalys och säkerhetsskyddsplan ska lämna dessa till tillsynsmyndigheten, och till Säkerhetspolisen om annan myndighet än Säkerhetspolisen är tillsynsmyndighet
- att verksamhetsutövares säkerhetsskyddsorganisation ska vara beskriven i säkerhetsskyddsanalysen.
- Fastställ en tydlig rutin för särskilda personutredningar inklusive personliga samtal inför placering i säkerhetsklass.
- Förtydliga och konkretisera den interna styrningen och processerna för den öppna informationsinhämtningen och informationsbearbetningen.
- Öka bemanningen vid de regionala sektionerna så att de behov som finns kan tillgodoses, samt ge sektionerna ökade befogenheter vid samverkan med andra myndigheter regionalt.
Referenslista
Utredningar
SOU 2002:87, Rikets säkerhet och den personliga integriteten. De svenska säkerhetstjänsternas författningsskyddande verksamhet sedan år 1945.
SOU 2010:103, Särskilda spaningsmetoder.
SOU 2012:77, En tydligare organisation för Säkerhetspolisen.
Ds 2018:35, Polisens tillgång till uppgifter från signalspaning.
Riksdagstryck
Prop. 2020/21:194, Ett starkare skydd för Sveriges säkerhet.
Författningar
Polislag (1984:387).
Budgetlag (2011:203).
Lag (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet.
Lag (2016:774) om uppgiftsskyldighet vid samverkan mot viss organiserad. Brottslighet.
Säkerhetsskyddslag (2018:585).
Lag (2019:1182) om Säkerhetspolisens behandling av personuppgifter.
Polisdatalag (2010:361).
Lag (2021:1171) om behandling av personuppgifter vid Försvarsmakten.
Lag (2021:1172) om behandling av personuppgifter vid Försvarets radioanstalt.
Säkerhetsskyddsförordning (2021:955).
Förordning (2022:1719) med instruktion för Säkerhetspolisen.
Myndighetsförordning (2007:515).
Förordning (2007:603) om intern styrning och kontroll.
Förordning (2022:1719) med instruktion för Säkerhetspolisen.
Säkerhetspolisens föreskrifter om säkerhetsskydd (PMFS 2022:1).
Webbsidor
Säkerhetspolisen, ”Säkerhetspolisens uppdrag”, https://sakerhetspolisen.se/om-sakerhetspolisen/sakerhetspolisens-uppdrag.html, hämtad 2024-10-24.
Säkerhetspolisen, ”Underrättelsearbete”, https://sakerhetspolisen.se/verksamheten/underrattelsearbete.html, hämtad 2024-10-24.
Säkerhetspolisen, ”Säkerhetsskydd”, https://sakerhetspolisen.se/sakerhetsskydd.html, hämtad 2024-11-12.
- [1] Med effektivt avses resursutnyttjande och måluppfyllelse.
- [2] 3 § polislagen (1984:387).
- [3] 1 kap. 3 § budgetlagen (2011:203) samt 3 § och 6 § första stycket myndighetsförordningen (2007:515).
- [4] 2 § förordningen (2007:603) om intern styrning och kontroll.
- [5] Polislagen (1984:387); polisförordningen (2014:1104); förordningen (2022:1719) med instruktion för Säkerhetspolisen; lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter; polisdatalagen (2010:361); lagen (2016:774) om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet; lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet; Ds (2018:35) Polisens tillgång till uppgifter från signalspaning.
- [6] Säkerhetspolisens arbetsordning, verksamhetsplaner och interna bestämmelser. Därutöver finns vägledningar, handböcker, mallar, etc.
- [7] Här avses i första hand åtgärder som Säkerhetspolisen vidtar, såsom avvärjning av attentat, förnyad underrättelseinriktning eller extern delgivning. Exempelvis kan extern delgivning av information om olovlig underrättelseverksamhet till Regeringskansliet leda till att regeringen förklarar en utländsk underrättelseofficer, som arbetar under diplomatisk täckmantel i Sverige, som icke önskvärd i landet, så kallad persona non grata (PNG).
- [8] De bestämmelser som styr arbetet med säkerhetsskydd finns framför allt i säkerhetsskyddslagen (2018:585), säkerhetsskyddsförordningen (2021:955) samt Säkerhetspolisens föreskrifter om säkerhetsskydd (PMFS 2022:1). I dessa finns bestämmelser om tillsyn och vägledning, säkerhetsprövning, informationssäkerhet, säkerhetsskyddsavtal samt internationella åtaganden om säkerhetsskydd.
- [9] Militära underrättelse- och säkerhetstjänsten.
- [10] Några personer har blivit intervjuade vid flera tillfällen.
- [11] Verksamhetskontrollen är en myndighetsintern tillsynsverksamhet direkt underställd säkerhetspolischefen.
- [12] Tillsynsmyndigheterna och de myndigheter Säkerhetspolisen är tillsynsmyndighet för framgår av 8 kap. 1 § säkerhetsskyddsförordningen.
- [13] Se 3 § polislagen (1984:387) samt 1 och 3 §§ förordningen (2022:1719) med instruktion för Säkerhetspolisen. Instruktionen trädde i kraft den 1 januari 2023, men bestämmelserna hade motsvarande innehåll i den tidigare numera upphävda förordningen (2014:1103) med instruktion för Säkerhetspolisen.
- [14] SOU 2012:77 s. 56.
- [15] SOU 2010:103 s. 87.
- [16] Till exempel till Polismyndigheten eller Försvarsmakten (Must).
- [17] SOU 2002:87 s. 56; SOU 2010:103 s. 87; SOU 2012:77 s. 56 f; Säkerhetspolisen, ”Säkerhetspolisens uppdrag” samt ”Underrättelsearbete”, hämtad 2024-10-24.
- [18] Avsnittet bygger på uppgifter från säkerhetsskyddslagen (2018:585), säkerhetsskyddsförordningen (2021:955) samt Säkerhetspolisen, ”Säkerhetsskydd”, hämtad 2024-11-12.
- [19] Från och med den 1 februari 2024 ingår 130 myndigheter i Säkerhetspolisens tillsynsområde. Alla dessa har dock inte anmält att de bedriver säkerhetskänslig verksamhet.
- [20] Se 21 § förordningen (2022:1719) med instruktion för Säkerhetspolisen.
- [21] Framför allt Statsrådsberedningen samt Justitie-, Försvars- och Utrikesdepartementen.
- [22] Prop. 2020/21:194, s. 78.
- [23] Annan tillsynsmyndighet än Säkerhetspolisen.
- [24] 2 kap. 1 § andra stycket säkerhetsskyddsförordningen (2021:955).
- [25] Se 4 kap. lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter.
- [26] Ju 2023:02, Säkerhetspolisens informationshantering (dir. 2023:64).
- [27] 2 kap. 21 § lagen (2021:1171) om behandling av personuppgifter vid Försvarsmakten samt 2 kap. 19 § lagen (2021:1172) om behandling av personuppgifter vid Försvarets radioanstalt.
- [28] Om händelsen är av särskilt känslig natur bör delgivningen kunna begränsas av Säkerhetspolisen till det mest angelägna för tillsynsmyndigheten att känna till.