I en tid då Sveriges säkerhet står inför flera utmaningar har säkerhetsprövning blivit ett ord på allas läppar när det kommer till att skydda känslig information och samhällsviktiga funktioner. Men hur långt kan vi gå för att stärka säkerheten utan att samtidigt inskränka individens rättigheter? Den ökande användningen av säkerhetsprövningar och bakgrundskontroller väcker frågan om hur vi hittar rätt balans mellan riskhantering och skyddet av den personlig integriteten. Hur säkerställer vi även att de åtgärder som vidtas är proportionerliga och inte överdrivet inkräktande på individens fri- och rättigheter? Syftet med denna artikel är att diskutera några av de utmaningar som finns gällande säkerhetsprövningar och hur olika faktorer – som befattningsanalys, riskhantering och hantering av avvikelser – kan bidra till en effektiv och rättvis process som både skyddar nationen och respekterar individens integritet.
Befattningsanalysen – en form av kravställning på grundutredningen
En av de stora utmaningarna med säkerhetsprövningar är att säkerställa att insamlingen och hanteringen av personuppgifter alltid har en tydlig och välgrundad rättslig grund. Grundutredningen innebär ofta insamling och bearbetning av stora mängder känslig personlig information. Detta kan leda till att individer upplever att deras integritet kränks, särskilt om insamlingen känns oproportionerlig i relation till den befattning som söks. För att en säkerhetsprövning ska vara rättsenlig måste den vila på en tydlig och välgrundad rättslig grund. Det innebär att varje uppgift som samlas in måste vara kopplad till verksamhetens skyddsvärden, den säkerhetskänsliga verksamheten, tillgång till säkerhetsskyddsklassificerade uppgifter och andra relevanta aspekter associerade med befattningen. En grundlig befattningsanalys spelar här en central roll, då den avgör vilka kontroller som är nödvändiga och proportionerliga för att skydda verksamheten utan att samla in onödig information. Genom en sådan analys tillses att kravställningen på grundutredningen är i takt med verksamhetens behov, vilket minskar risken för integritetsintrång och samtidigt stärker förtroendet för säkerhetsprövningsprocessen.
Hantering av avvikelser – en kritisk faktor
Hur resultatet av en säkerhetsprövning hanteras är avgörande, både för verksamheten och för individen. Ett felaktigt eller slarvigt hanterad avvikelse kan leda till stora konsekvenser – för verksamheten, genom att potentiella risker inte hanteras korrekt, och för individen, genom att denne orättvist utesluts eller stigmatiseras. Det är därför nödvändigt att det finns tydliga riktlinjer och processer för hur man går vidare när oegentligheter eller riskfaktorer identifieras under en prövning – och hur de kommuniceras med den prövade. Utan en noggrann bedömning av de risker som framkommer blir säkerhetsprövningen ett byråkratiskt ”tick the box”-verktyg, mer inriktat på regelefterlevnad än på att identifiera faktiska risker. Det är varken ”riskmitigerande”[1] eller rättvist mot individer när organisationer inte vet hur de ska hantera avvikelser. Så med fördel kan verksamhetsutövare ställa sig själv frågan – ”Vet min organisation hur vi ska hantera den information som eventuellt identifieras?”.
Säkerhetsprövningar bör inte heller ses som en process för att antingen godkänna eller avslå en individ för en specifik befattning. I många fall handlar det snarare om att identifiera och hantera potentiella risker, vilket kan innebära att en individ tilldelas en roll med särskilda skyddsåtgärder eller restriktioner – under förutsättning att risken går att hantera. Det är viktigt att förstå att säkerhetsprövningar inte alltid är en binär process där utfallet är antingen ett ”ja” eller ”nej”. Genom att tillämpa ett riskbaserat tillvägagångssätt kan organisationer anpassa sina säkerhetsåtgärder efter den specifika situationen och individens riskprofil. Detta kan innebära att särskilda kontroller införs, ökad medvetenhet om direkta eller indirekta sårbarheter eller att den prövade personen får utbildning och vägledning för att minimera riskerna. De största hoten kommer inte nödvändigtvis från de sårbarheter vi känner till och kan hantera, utan från de oupptäckta som inte kan hanteras. Genom att fokusera på riskhantering, snarare än en strikt bedömning om en individ är helt pålitlig, totalt saknar sårbarheter eller är fullständigt lojal (en sådan människa finns inte), kan organisationer skapa en mer nyanserad och effektiv säkerhetsprövningsprocess. Detta möjliggör att man kan tillvarata viktiga talanger samtidigt som man bibehåller hög säkerhet.
Compliance[2] versus Risk – en felaktig prioritering?
Ett av de största problemen med dagens säkerhetsprövningar är att de har en stel complianceinriktning snarare än att bedöma de faktiska risker en person kan utgöra. Traditionellt har fokus legat på exempelvis brottslighet och medborgarskap, trots att forskning även visar på att vissa personlighetsdrag kan utgöra en betydande risk i relation till insiderhandlingar. Personlighetsdrag som narcissism, manipulativt beteende och impulsivitet är starkt kopplade till ökad risk för säkerhetsrelaterade incidenter. Dessa drag påverkar individers pålitlighet, sårbarhet och lojalitet, vilka är de centrala bedömningsfaktorer i säkerhetsprövningen. Organisationer behöver ofta bli bättre på att utveckla en förmåga att identifiera och hantera risktypiska personlighetsdrag i samband med säkerhetsprövningar.
Ett exempel på när tunnelseende gällande compliance, riskerar att tappa syftet för prövningen och därmed även kvalitén, är användningen av webb- och online-baserade intervjuer. Dessa metoder marknadsförs som tidseffektiva och högkvalitativa, trots att dessa intervjuer inte kan ersätta den mänskliga kontakten och de subtila insikter som ett fysiskt möte ger. Sannolikt är utföraren medveten om detta men lyckas ändå sälja in tjänsten billigare än en konkurrent till en mottagare med begränsad kunskap om hantverket. Ansikte-mot-ansikte-interaktioner tillåter bedömningar av kroppsspråk, tonfall och reaktioner som kan vara avgörande för att upptäcka inkonsekvenser eller det som professionella intervjuare kallar ”motstånd i samtal”. Den mänskliga aspekten av säkerhetsprövningar är central för att skapa en helhetsbild av en individs pålitlighet, lojalitet och sårbarheter. Att förlita sig på webbintervjuer riskerar helt enkelt att reducera säkerhetsprövningen till en ytlig och formalistisk process som enbart existerar för att underlätta en löpande band-princip på bekostnad av kvalité. Organisationer måste sluta hitta ohållbara genvägar och återgå till att prioritera kvalitet och djup i prövningen – det kommer att göra säkerhetsprövningen både mer effektiv, pålitlig och rättssäker.
Säkerhetsprövningens syfte måste ändå vara att hantera och reducera risker – inte att enbart följa lagkrav, formella regler och rutiner.
Säkerhetsprövning – ett skydd för Sveriges säkerhet
Säkerhetsprövning har ett övergripande syfte: att skydda Sveriges säkerhet. När det gäller säkerhetsskydd och Sveriges säkerhet bör vi inte kompromissa på kvalitén. Det är skillnad på en larmdosa, kameraövervakning, en dörrs tjocklek och säkerhetsprövningen – människan går helt enkelt inte att ”mäta” på samma sätt och vi måste våga prata om riskhantering inom ett område som är mer abstrakt. Det är lätt att fastna i de juridiska och administrativa detaljerna, men vi får inte glömma att säkerhetsprövning inte existerar för att komplicera rekryteringsprocessen eller utsätta individer för onödiga kontroller. Det är ett verktyg för att förhindra att olämpliga personer får tillgång till säkerhetskänslig verksamhet eller säkerhetsskyddsklassificerade uppgifter. Varje individ spelar en avgörande roll i skyddet av Sveriges säkerhet, och det är viktigt att komma ihåg att vi aldrig med 100 % säkerhet kan veta vilken information eller verksamhet som är av intresse. Även till synes obetydliga uppgifter kan vara värdefulla i fel händer. Hotbilden mot Sverige förändras ständigt, och riskerna är ofta svåra att förutse.
Slutsats
Säkerhetsprövning är en nödvändighet i en tid där hoten mot Sveriges säkerhet är högst påtagliga. Men för att säkerställa att de utförs på ett sätt som både skyddar Sveriges säkerhet och respekterar individens rättigheter, måste de genomföras professionellt, med omsorg och baseras på tydliga rättsliga grunder. Genom att fokusera på riskhantering – parallellt med compliance – kan vi anpassa säkerhetsprövning till hotbilden och för varje verksamhet skapa en process som är både effektiv och rättvis. På så sätt blir säkerhetsprövningar inte bara ett verktyg för att skydda mot aktörsdrivna säkerhetshot, utan också en metod för att säkerställa att individer behandlas med respekt och integritet.