AlegsaOnline.com

Sekretessbelagda uppgifter – definition, klassificering och säkerhetsprövning

Lär dig allt om sekretessbelagda uppgifter: definition, klassificering, nivåer och säkerhetsprövning för att skydda nationell och företagsinformation.

Författare: Leandro Alegsa

06-02-2026

Sekretessbelagda uppgifter är känsliga uppgifter som enligt lag eller annan författning endast är tillgängliga för vissa grupper av personer. För att hantera sekretessbelagda handlingar eller få tillgång till sekretessbelagda uppgifter krävs en formell säkerhetsprövning. För att få ett säkerhetsgodkännande krävs en tillfredsställande bakgrundsutredning. Det finns vanligtvis flera olika nivåer av känslighet, med olika krav på säkerhetsprövning. Denna typ av hierarkiskt system för att dela information mellan en grupp människor används nästan av alla nationella regeringar. Att tilldela uppgifter en känslighetsnivå kallas dataklassificering.

Syftet med klassificering är att skydda information från att användas för att skada eller äventyra den nationella säkerheten. Klassificering formaliserar vad som utgör en "statshemlighet" och behandlar olika skyddsnivåer utifrån den förväntade skada som informationen kan orsaka om den hamnar i fel händer.

Vissa icke-statliga organisationer och företag har också sin egen hemliga information, som vanligtvis kallas affärshemligheter.

Vad som omfattas av sekretessbelagda uppgifter

Sekretessbelagda uppgifter kan röra bland annat:

militär och försvarsrelaterad information, planer och tekniska detaljer;
uppgifter om rikets säkerhet eller internationella förbindelser;
operativa polisiära och underrättelseuppgifter;
personuppgifter som kräver högt skydd (t.ex. skyddade identiteter);
kritisk infrastruktur och säkerhetskänsliga IT-system;
affärshemligheter och känslig ekonomisk information i privat sektor.

Klassificeringsnivåer och principer

Det finns flera sätt att dela in känsliga uppgifter i nivåer. I praktiken används ofta en hierarki där högre nivåer kräver strängare skydd och mer omfattande säkerhetsprövning. Vanliga begrepp (på både internationella och nationella system) innefattar nivåer som kan översättas till svenska termer som:

Högsta hemlig (Top Secret) – uppgifter vars obehöriga spridning kan orsaka mycket allvarlig skada;
Hemlig (Secret) – uppgifter som kan orsaka allvarlig skada vid obehörig åtkomst;
Konfidentiell (Confidential) – uppgifter som kan orsaka skada;
Begränsad eller internt klassificerade uppgifter – lägre känslighet, men ändå skyddsvärda.

Principer som styr klassificering är bland annat need-to-know (åtkomst endast för dem som behöver informationen för sina arbetsuppgifter), proportionellt skydd utifrån skaderisk och regelbunden översyn av klassificeringen.

Rättsligt ramverk i Sverige

I Sverige regleras sekretess och hantering av skyddsvärda uppgifter i flera lagar och författningar, bland annat offentlighets- och sekretesslagen (OSL) som styr statliga myndigheters sekretess, samt säkerhetsskyddslagen som reglerar säkerhetsskydd för att motverka skada mot Sveriges säkerhet. Dessutom påverkar regelverk som GDPR hanteringen av personuppgifter. Offentlighetsprincipen står parallellt med sekretessbestämmelserna och innebär att allmänheten som huvudregel har rätt att ta del av allmänna handlingar, men sekretessbestämmelser kan inskränka denna rätt när skydd krävs.

Säkerhetsprövning och säkerhetsklassning

Säkerhetsprövning är den formella processen för att bedöma huruvida en person är lämplig att få tillgång till sekretessbelagda uppgifter. Vanliga steg i en säkerhetsprövning är:

identitets- och bakgrundskontroller;
registerkontroller (t.ex. belastningsregistret) och ibland ekonomiska upplysningar;
referenskontroller och intervjuer;
bedömning av lojalitet, pålitlighet och sårbarhet för otillbörlig påverkan;
beslut om säkerhetsklassning och eventuellt utfärdande av ett säkerhetsbesked eller behörighet.

Säkerhetsprövningar kan vara inledande vid anställning och återkommande under anställningen (periodisk återprövning). Behörigheten utfärdas av ansvarig myndighet eller av arbetsgivaren i enlighet med gällande regelverk.

Tekniska och organisatoriska skyddsåtgärder

För att skydda sekretessbelagda uppgifter används både organisatoriska och tekniska åtgärder:

fysisk säkerhet: låsta rum, säkerhetsklassade arkiv, passerkontroll;
IT-säkerhet: kryptering, säkra kommunikationskanaler, åtkomstkontroller och loggning;
administrativa rutiner: tydliga behörighetsregler, målgruppsmärkning och dokumenthanteringsrutiner;
utbildning och säkerhetsmedvetande för anställda samt regelbundna övningar;
säker destruktion av dokument och media (t.ex. makulering eller säker rensning).

Hantering i privat sektor: affärshemligheter

Företag skyddar känslig företagsinformation genom sekretessavtal (NDA), intern klassificering och tekniska skydd. Affärshemligheter omfattas inte nödvändigtvis av offentlighetslagstiftning men kan skyddas både civilt och straffrättsligt vid obehörigt röjande.

Incidenter, läckor och påföljder

Obehörigt avslöjande av sekretessbelagda uppgifter kan leda till allvarliga konsekvenser, exempelvis skada för rikets säkerhet, ekonomiska förluster eller personrisker. Myndigheter och arbetsgivare har rutiner för incidentrapportering, utredning och åtgärder för att begränsa skador. Brott mot bestämmelser om skydd för hemliga uppgifter kan leda till disciplinära åtgärder, återkallande av behörighet och i vissa fall straffrättsliga påföljder enligt relevant lagstiftning.

Deklassificering och arkivering

Sekretess är inte alltid permanent. Information kan deklassificeras när skyddsskäl inte längre föreligger, efter särskilda tidsfrister eller efter omprövning. Samtidigt gäller särskilda regler för arkivering av handlingar med sekretess, där ansvariga myndigheter eller organisationer måste säkerställa fortsatt skydd eller ordnad överlämning till arkivmyndighet enligt lagstiftningens krav.

Praktiska råd för den som hanterar sekretessbelagd information

Följ alltid din organisations säkerhetspolicy och märkning av handlingar.
Dela information endast med personer som har korrekt behörighet och ett tydligt behov.
Använd godkända tekniska lösningar för kommunikation och lagring.
Anmäl misstänkta incidenter omedelbart till säkerhetsansvarig.
Håll säkerhetsprövning och utbildning uppdaterad.

Sammanfattningsvis är sekretessbelagda uppgifter ett centralt verktyg för att skydda både nationell säkerhet och känslig information i offentliga och privata verksamheter. Ett effektivt skydd bygger på tydliga regler för klassificering, robusta tekniska och organisatoriska åtgärder samt kontinuerlig säkerhetsprövning och utbildning.

Ett typiskt sekretessbelagt dokument. Sida 13 i en rapport [1] från USA:s nationella säkerhetsbyrå om incidenten med USS Liberty, som delvis avklassificerades och släpptes till allmänheten i juli 2003. Sidans ursprungliga övergripande klassificering, "top secret", och specialunderrättelsetjänstens kodord "umbra" visas överst och nederst. Klassificeringen av enskilda stycken och referenstitlar visas inom parentes - det finns sex olika nivåer enbart på denna sida. Noteringar med ledarstreck överst och nederst hänvisar till lagstadgade bemyndiganden för att inte avklassificera vissa avsnitt.

Klassificeringsnivåer

Även om klassificeringssystemen varierar från land till land har de flesta nivåer som motsvarar följande brittiska definitioner (från den högsta nivån till den lägsta):

Topphemligt (TS)

Den högsta klassificeringsnivån för material på nationell nivå. Sådant material skulle orsaka "exceptionellt allvarlig skada" på den nationella säkerheten om det blev offentligt tillgängligt.

Hemlig

Sådant material skulle orsaka "allvarlig skada" på den nationella säkerheten om det blev offentligt tillgängligt.

Konfidentiell

Sådant material skulle orsaka "skada" eller vara "skadligt" för den nationella säkerheten om det blev offentligt tillgängligt.

Restricted

Sådant material skulle orsaka "oönskade effekter" om det blev offentligt tillgängligt. Vissa länder har ingen sådan klassificering.

Oklassificerat

Tekniskt sett ingen klassificeringsnivå, men används för myndighetsdokument som inte har någon klassificering som anges ovan. Sådana dokument kan ibland läsas av personer utan säkerhetsklassning.

Beroende på klassificeringsnivån finns det olika regler som styr vilken nivå av behörighet som krävs för att ta del av sådan information och hur den måste lagras, överföras och förstöras. Dessutom begränsas åtkomsten på grundval av "behov av att känna till". Att bara ha en behörighet ger inte automatiskt personen rätt att se allt material som är klassificerat på den nivån eller under den nivån. Personen måste uppvisa ett legitimt "behov av att känna till" utöver den korrekta nivån av säkerhetsprövning.

Frågor och svar

F: Vad är sekretessbelagd information?

S: Sekretessbelagd information är känslig information som enligt lag eller förordning endast är tillgänglig för vissa kategorier av personer.

F: Vad krävs för att hantera sekretessbelagda handlingar eller få tillgång till sekretessbelagda uppgifter?

Svar: Det krävs en formell säkerhetsprövning för att hantera sekretessbelagda handlingar eller få tillgång till sekretessbelagda uppgifter.

F: Vad innebär förfarandet för säkerhetsprövning?

S: För att få en säkerhetsprövning krävs en tillfredsställande bakgrundsutredning.

F: Finns det olika känslighetsnivåer?

S: Ja, det finns vanligtvis flera olika känslighetsnivåer med olika krav på säkerhetsprövning.

F: Vad är syftet med dataklassificering?

S: Syftet med dataklassificering är att skydda information från att användas för att skada eller äventyra den nationella säkerheten.

F: Varför är klassificering nödvändig?

S: Klassificering formaliserar vad som utgör en "statshemlighet" och behandlar olika skyddsnivåer utifrån den förväntade skada som informationen skulle kunna orsaka om den hamnade i fel händer.

F: Har icke-statliga organisationer och företag också hemlig information?

S: Ja, vissa icke-statliga organisationer och företag har också sin egen hemliga information, som normalt kallas affärshemligheter.