681/2010

I denna förordning föreskrivs om de allmänna kraven på informationssäkerhet i fråga om hanteringen av handlingar hos en statsförvaltningsmyndighet samt om grunderna för klassificeringen av handlingar och de krav på informationssäkerhet som motsvarar klassificeringen och som ska iakttas vid hanteringen av handlingar.

I lagen om offentlighet i myndigheternas verksamhet (621/1999) finns bestämmelser om myndighetshandlingars offentlighet och om behandlingen av en begäran om att få ta del av en handling samt om allmänna skyldigheter i anknytning till god informationshantering. I 6 § i lagen om internationella förpliktelser som gäller informationssäkerhet (588/2004) finns bestämmelser om sekretess i fråga om en handling som har säkerhetsklassificerats i enlighet med internationella förpliktelser som gäller informationssäkerhet.

Denna förordning tillämpas på hanteringen av en handling som en statsförvaltningsmyndighet mottagit av en myndighet i ett annat land eller av ett internationellt organ, om inte något annat följer av en internationell förpliktelse som gäller informationssäkerhet.

I denna förordning avses med

En statsförvaltningsmyndighet ska se till att planeringen av informationssäkerheten i överensstämmelse med god informationshantering grundar sig på myndighetens utredningar och bedömningar av de myndighetshandlingar som den har i sin besittning samt av betydelsen av uppgifterna i handlingarna. Statsförvaltningsmyndigheten ska också se till att kravet på genomförande av en god offentlighets- och sekretesstruktur i informationssystemen beaktas vid planeringen och att informationssäkerhetsåtgärderna dimensioneras så att betydelsen av de uppgifter som ska skyddas och deras användningsändamål samt riskfaktorer som riktas mot handlingarna och informationssystemen och kostnaderna för informationssäkerhetsåtgärderna beaktas.

För att tillgodose informationssäkerheten ska en statsförvaltningsmyndighet se till att

Bestämmelser om skyldigheten för en statsförvaltningsmyndighet att sörja för skyddet när sekretessbelagda uppgifter lämnas ut för att ett uppdrag ska bli utfört finns i 26 § 2 mom. i lagen om offentlighet i myndigheternas verksamhet. Bestämmelser om hur personuppgifter i ett personregister lämnas ut finns dessutom i 32 § 2 mom. i personuppgiftslagen.

Informationssäkerhetsåtgärderna ska planeras och genomföras så att de täcker handlingens alla hanteringsskeden från upprättandet eller mottagandet av handlingen till arkiveringen eller förstöringen, inbegripet utlämnandet och överföringen av handlingen samt tillsynen över hanteringen. Vid planeringen ska det ses till att de förpliktelser som gäller databehandlingen iakttas även i sådana fall då databehandlingsuppgiften sköts på uppdrag av myndigheten.

Om en statsförvaltningsmyndighet har beslutat att klassificera sina handlingar i syfte att tillgodose informationssäkerheten, ska de grunder som anges i 3 kap. iakttas vid klassificeringen.

En statsförvaltningsmyndighet ska se till att de krav som anges i 4 kap. iakttas vid hanteringen av sådana klassificerade handlingar som myndigheten har upprättat eller mottagit. Vad som ovan föreskrivs utgör dock inget hinder för att myndigheten i sin egen verksamhet tillämpar högre informationssäkerhetskrav än de som anges i 4 kap.

Sekretessbelagda handlingar eller uppgifterna i dem kan klassificeras enligt de krav på informationssäkerheten som det är nödvändigt att iaktta vid hanteringen av handlingarna. Klassificeringen kan också utföras så att kraven på informationssäkerhet endast gäller på sådana handlingar eller på sådana hanteringsskeden där specialåtgärder är nödvändiga för det intresse som ska skyddas. Klassificeringen får inte utsträckas till att gälla en handling eller delar av en handling, om det inte för det intresse som ska skyddas är nödvändigt att iaktta de krav som gäller hanteringen.

Andra än sekretessbelagda handlingar kan klassificeras endast i de fall som avses i 9 § 2 mom.

Vid klassificeringen av sekretessbelagda handlingar används följande klasser:

Även andra än sekretessbelagda handlingar kan klassificeras på ett sådant sätt att de tillhör den skyddsnivå som avses i 1 mom. 4 punkten, om utlämnande av handlingen enligt lag är beroende av en myndighets prövning eller om uppgifterna i handlingen enligt lag får användas eller lämnas ut endast för det ändamål som angetts och om obehörigt avslöjande av uppgifterna kan orsaka olägenheter för allmänna eller enskilda intressen eller försämra en myndighets verksamhetsförutsättningar.

I samband med en anteckning som utvisar skyddsnivån kan uppgifter om en handlings sekretess antecknas med beaktande dock av bestämmelserna i 25 § i lagen om offentlighet i myndigheternas verksamhet. Bestämmelser om skyldigheten att i en handling föra in en anteckning om sekretess finns i nämnda lagrum.

Anteckningar som avses i denna förordning kan föras in i en separat handling som fogas till handlingen, om det inte är tekniskt möjligt att föra in anteckningar i handlingen eller ändra anteckningen, eller om de krav på hanteringen som svarar mot säkerhetsklassen är nödvändiga endast under en viss kort tid.

En anteckning som utvisar skyddsnivån ska införas tydligt och korrekt i handlingen, och klassificeringen ska bevaras endast så länge som det är nödvändigt för de intressen som ska skyddas. När det inte längre finns några grunder för klassificeringen av handlingen enligt lag eller denna förordning eller när det är nödvändigt att ändra klassificeringen ska en behörig anteckning om slopad eller ändrad klassificering införas i den handling i vilken den ursprungliga anteckningen om klassificering har införts. Senast när en myndighet lämnar ut handlingen till en utomstående ska anteckningens nödvändighet och det krav på skyddsnivå som anteckningen utvisar kontrolleras.

Om en statsförvaltningsmyndighet har mottagit en handling som omfattas av skyddsnivå I–III av en annan statsförvaltningsmyndighet, får klassificeringsanteckningen inte ändras utan att den myndighet som har utfärdat handlingen underrättas om detta.

Om obehörigt avslöjande eller obehörig användning av en handling eller uppgifter i handlingen kan orsaka skada för internationella relationer, statens säkerhet, försvaret eller andra allmänna intressen på det sätt som avses i 24 § 1 mom. 2 och 7–10 punkten i lagen om offentlighet i myndigheternas verksamhet, kan en särskild anteckning om säkerhetsklassificeringen göras i samband med eller i stället för den anteckning som utvisar handlingens skyddsnivå.

En anteckning om säkerhetsklassificering görs:

Anteckningen om säkerhetsklass får inte användas i andra fall än de som avses i 1 mom., om anteckningen inte är nödvändig för tillgodoseendet av en internationell förpliktelse som gäller informationssäkerheten eller om handlingen inte i övrigt hänför sig till internationellt samarbete.

Anteckningen om säkerhetsklassificering görs på svenska i handlingar som har upprättats på svenska eller översatts till svenska. Anteckningen kan göras även i andra fall, om myndigheten anser det vara nödvändigt. Anteckningen "ERITTÄIN SALAINEN" motsvaras då av "YTTERST HEMLIG", anteckningen "SALAINEN" av "HEMLIG", anteckningen "LUOTTAMUKSELLINEN" av "KONFIDENTIELL" och anteckningen "KÄYTTÖ RAJOITETTU" av "BEGRÄNSAD TILLGÅNG".

Om inte annat följer av internationella förpliktelser som gäller informationssäkerheten, motsvaras säkerhetsklassificeringsanteckningen "YTTERST HEMLIG" av klassen "TOP SECRET" enligt den internationella förpliktelse som gäller informationssäkerheten eller av motsvarande uttryck på något annat språk. Anteckningen "HEMLIG" motsvaras av "SECRET" eller motsvarande uttryck på något annat språk, anteckningen "KONFIDENTIELL" motsvaras av "CONFIDENTIAL" eller motsvarande uttryck på något annat språk och anteckningen "BEGRÄNSAD TILLGÅNG" av "RESTRICTED" eller motsvarande uttryck på något annat språk.

Användningsrättigheter till en handling som omfattas av skyddsnivå I–III kan endast ges den som på grund av sina arbetsuppgifter har behov av att få uppgifter ur handlingen eller på annat sätt hantera handlingen och som är förtrogen med förpliktelserna i fråga om hanteringen av handlingar. Samma gäller sådana handlingar i ett personregister som innehåller känsliga personuppgifter eller biometriska identifikationsuppgifter som omfattas av skyddsnivå IV.

Om inte annat följer av en internationell förpliktelse som gäller informationssäkerheten, ska en statsförvaltningsmyndighet föra förteckning över de arbetsuppgifter i vilka en person har rätt att hantera handlingar som omfattas av skyddsnivå I eller II eller handlingar som omfattas av skyddsnivå III eller IV och som har registrerats i ett personregister. En statsförvaltningsmyndighet kan även föra förteckning över dem som har rätt att hantera sådana handlingar som avses ovan.

En statsförvaltningsmyndighet ska se till att de som inte längre arbetar i sådana arbetsuppgifter som rätten att hantera klassificerade handlingar grundar sig på returnerar handlingarna eller förstör dem på behörigt sätt.

Bestämmelser om upprättandet av personsäkerhetsutredningar och andra åtgärder för att säkerställa personalens pålitlighet utfärdas särskilt.

En statsförvaltningsmyndighet ska se till att

Klassificerade handlingar får inte förvaras eller på annat sätt hanteras utanför en statsförvaltningsmyndighets lokaler, om inte något annat följer av ett tillstånd, ett uppdrag eller anvisningar av myndigheten.

En statsförvaltningsmyndighet kan tillåta att en handling som omfattas av skyddsnivå I eller II registreras elektroniskt på ett datamedium eller någon annan anordning som

En statsförvaltningsmyndighet kan tillåta att en handling som omfattas av skyddsnivå II registreras elektroniskt på ett datamedium eller någon annan anordning som är kopplad till ett sådant myndighetsdatanät där begränsad tillgång gäller, om handlingen registreras starkt krypterad eller den i övrigt är starkt skyddad och myndigheten även i övrigt har försäkrat sig om att datanätet och databehandlingen i dess helhet uppfyller kraven på den höga informationssäkerhetsnivå som normalt tillämpas.

En statsförvaltningsmyndighet kan tillåta att en handling som omfattas av skyddsnivå III registreras på en anordning som är kopplad till myndighetens datanät, om tillgången till nätet är begränsad, och handlingen registreras krypterad eller på något annat sätt skyddad så att datanätet och databehandlingen i dess helhet uppfyller de krav på förhöjd informationssäkerhetsnivå som normalt tillämpas. Samma gäller en handling i ett personregister som innehåller känsliga personuppgifter eller biometriska identifikationsuppgifter som omfattas av skyddsnivå IV.

Vid upprättande av en handling som omfattas av skyddsnivå I–III i elektronisk form och vid bearbetning av handlingen ska det ses till att de olägenheter som beror på diffus strålning kan minskas i tillräcklig utsträckning. Om anordningen har kopplats till datanätet, ska datanätet dessutom uppfylla de krav som anges i 1 mom. 2 punkten eller i 2 eller 2 momenten.

En handling som omfattas av skyddsnivå I får inte kopieras utan tillstånd av den myndighet som har upprättat handlingen. Kopiorna av en handling som omfattas av skyddsnivå I eller II ska förtecknas. Vid elektronisk kopiering av en handling på ett datamedium ska dessutom bestämmelserna i 16 § om förutsättningarna för elektronisk registrering av en handling beaktas.

På kopian av en klassificerad handling ska samma anteckning göras som på den ursprungliga handlingen, om inte klassificeringen i övrigt redan framgår av kopian av handlingen. En statsförvaltningsmyndighet kan besluta att det inte är nödvändigt att göra en anteckning på en handling som omfattas av skyddsnivå III eller IV, om handlingen inte lämnas ut till utomstående och de som hanterar handlingen inom myndigheten har kännedom om de krav som ska iakttas när handlingen hanteras.

En handling som omfattas av skyddsnivå I eller II ska för förmedling packas på ett ändamålsenligt sätt och levereras personligen eller på något annat, av myndigheten godkänt, tryggt sätt till mottagaren.

Sändande och mottagande av en handling som omfattas av skyddsnivå I eller II ska rekommenderas.

En handling som omfattas av skyddsnivå I eller II får inte överföras i datanätet. En handling som omfattas av denna skyddsnivå får emellertid överföras i ett sådant myndighetsdatanät som förenar den anordning som använts för registrering och förvaring av handlingen med andra anordningar i samma särskilt övervakade utrymme, som är i myndighetens besittning, om en förbindelse från andra datanät inte har upprättats till det datanät som förenar anordningarna och om hanteringen också i övrigt är starkt skyddad.

En handling som omfattas av skyddsnivå II får dessutom överföras i ett sådant myndighetsdatanät, där begränsad tillgång gäller, om handlingen är starkt krypterad eller den i övrigt är starkt skyddad och om statsförvaltningsmyndigheten även i övrigt har försäkrat sig om att datanätet och databehandlingen i dess helhet uppfyller kraven på den höga informationssäkerhetsnivå som normalt tillämpas.

En statsförvaltningsmyndighet kan tillåta att en handling som omfattas av skyddsnivå III överförs i myndighetens datanät, där begränsad tillgång gäller, om myndigheten har försäkrat sig om att datanätet och databehandlingen i dess helhet uppfyller kraven på den förhöjda informationssäkerhetsnivå som normalt tillämpas. Detsamma gäller överföring i datanätet av känsliga personuppgifter eller biometriska identifikationsuppgifter som registrerats i ett riksomfattande personregister och omfattas av skyddsnivå IV. Andra handlingar som omfattas av skyddsnivå IV får överföras på ett sätt som bestäms av statsförvaltningsmyndigheten.

Hanteringen av handlingar som omfattas av skyddsnivå I–III samt av handlingar i ett personregister som innehåller känsliga personuppgifter eller biometriska uppgifter och som omfattas av skyddsnivå IV ska dokumenteras i en elektronisk logg, ett datasystem, ett ärendehanteringssystem, ett manuellt diarium eller en handling.

Bestämmelserna i 1 mom. gäller inte sådana versioner från de olika skedena i beredningen av handlingen som endast den som har upprättat handlingen har tillgång till.

Bestämmelser om arkivering av klassificerade handlingar finns i arkivlagen (831/1994) .

En kopia av en handling som omfattas av skyddsnivå I eller II och som inte längre behövs ska förstöras, om den inte returneras till den myndighet som har upprättat handlingen. Handlingen får förstöras endast av en person som myndigheten har förordnat att sköta denna uppgift. Versioner från de olika skedena i beredningen av handlingen får emellertid förstöras av den som har upprättat dem.

En handling i pappersform ska förstöras på ett sätt som motsvarar skyddsnivån. En handling som registrerats elektroniskt ska på motsvarande sätt förstöras i en anordning, ett datamedium eller ett informationssystem. Det ska dessutom ses till att tillfälliga filer som uppkommit vid användningen av informationssystemet tas bort tillräckligt ofta, om de inte utplånas automatiskt ur informationssystemet.

Denna förordning träder i kraft den 1 oktober 2010.

Genom denna förordning upphävs 2 och 3 § i förordningen av den 12 november 1999 om offentlighet och god informationshantering i myndigheternas verksamhet (1030/1999) .

Handlingar som har klassificerats innan förordningen träder i kraft hanteras i enlighet med kraven på motsvarande skyddsnivå i denna förordning, om det inte är uppenbart att det inte längre finns några grunder för klassificering enligt förordningen.

Bestämmelserna i 10 § 3 mom. om den anteckning som görs om ändrad eller slopad klassificering tillämpas på klassificering som gjorts innan förordningen träder i kraft endast i det fall att den klassificerade handlingen lämnas ut till en utomstående.

En myndighets databehandling ska motsvara de informationssäkerhetskrav på basnivå som anges i 6 § i förordningen inom tre år från det att förordningen trätt i kraft.

Myndigheten ska se till att hanteringen av klassificerade handlingar överensstämmer med kraven i 4 kap. inom fem år från det att myndigheten har beslutat klassificera sina handlingar.

En statsförvaltningsmyndighets lokaler som används när förordningen träder i kraft ska uppfylla de krav på lokalernas säkerhet som uppställts i förordningen inom fem år från det att förordningen träder i kraft. Samma gäller lokaler som har tagits i bruk innan två år har förflutit från det att förordningen träder i kraft.