Kapittel 12. Personellsikkerhet

§ 67. Vilkår for å gi autorisasjon

Den som skal autoriseres, skal signere en taushetserklæring før det gis autorisasjon. Før det gis autorisasjon for COSMIC TOP SECRET, skal også NATOs COSMIC-erklæring undertegnes. Dersom personen har en klarering på vilkår etter sikkerhetsloven § 8-6, skal den autorisasjonsansvarlige, før det gis autorisasjon, fastsette hvordan vilkårene skal følges opp.

§ 68. Autorisasjonssamtale

En autorisasjonssamtale skal gjennomføres:

a.
før det gis autorisasjon
b.
når en autorisert person selv ber om det
c.
ved reklarering
d.
når en autorisasjonsansvarlig ellers finner grunn til det.

Personer som får autorisasjon for STRENGT HEMMELIG, COSMIC TOP SECRET eller tilsvarende, skal gjennomføre en ny autorisasjonssamtale minst annethvert år.

Den autorisasjonsansvarlige skal gjennom autorisasjonssamtalen

a.
forsikre seg om at den som skal autoriseres, kjenner til relevante sikkerhetstrusler og sikkerhetsbestemmelser og forstår sin rolle i sikkerhetsarbeidet til virksomheten
b.
kontrollere at opplysningene den som skal autoriseres, gir, er tilstrekkelige og oppdaterte
c.
drøfte eventuelle risikofaktorer ved personen som er relevante for personellsikkerheten
d.
drøfte tiltak som kan redusere risikofaktorer ved personen, eller som kan oppfylle vilkår som klareringsmyndigheten har gitt for klareringen.

Dersom personen har vært autorisert før, skal den som autoriserer, hente inn opplysninger av betydning fra forrige autorisasjonsavgjørelse. Taushetsplikt er ikke til hinder for utlevering av opplysningene.

Personer som skal autoriseres for BEGRENSET, eller med kortvarig behov for autorisasjon for KONFIDENSIELT eller høyere, kan få en felles orientering om sikkerhetsmessige risikofaktorer og relevante krav til sikkerhet, i stedet for en individuell autorisasjonssamtale. De skal likevel orienteres om sin rett til å kreve en individuell autorisasjonssamtale.

§ 69. Autorisasjon av autorisasjonsansvarlig og personell hos leverandøren

Oppdragsgiveren skal autorisere den autorisasjonsansvarlige hos leverandøren og personell hos leverandøren som bare får tilgang til skjermingsverdig informasjon, skjermingsverdige objekter eller skjermingsverdig infrastruktur hos oppdragsgiveren.

§ 70. Autorisasjon av utenlandske statsborgere

Før en utenlandsk statsborger som ikke har klarering, kan autoriseres for informasjon gradert BEGRENSET, skal den autorisasjonsansvarlige vurdere om personens tilknytning til hjemlandet og hjemlandets sikkerhetsmessige betydning utgjør en uakseptabel risiko. Den autorisasjonsansvarlige kan be klareringsmyndigheten om en vurdering av hjemlandets sikkerhetsmessige betydning.

Dersom en utenlandsk statsborger kommer fra en stat som Politiets sikkerhetstjeneste mener utgjør en høy sikkerhetsrisiko for Norge, må den autorisasjonsansvarlige innhente samtykke fra en klareringsmyndighet før den utenlandske statsborgeren kan autoriseres for BEGRENSET.

Utenlandske statsborgere kan bare autoriseres for tilgang til informasjon sikkerhetsgradert av en fremmed stat dersom personen er borger av denne staten, eller dersom Nasjonal sikkerhetsmyndighet har innhentet tillatelse fra statens myndigheter.

Utenlandske statsborgere kan bare autoriseres for tilgang til informasjon sikkerhetsgradert av en internasjonal organisasjon dersom staten personen er borger av, er medlem av organisasjonen, eller dersom Nasjonal sikkerhetsmyndighet har innhentet tillatelse fra organisasjonen.

Den autorisasjonsansvarlige skal orientere Nasjonal sikkerhetsmyndighet om utenlandske statsborgere som autoriseres for BEGRENSET.

Bestemmelsene i denne paragrafen gjelder også for personer som har dobbelt statsborgerskap, er statsløse eller har uavklart statsborgerskap.

§ 71. Tilgang uten autorisasjon

En person kan gis tilgang til skjermingsverdig informasjon, skjermingsverdige objekter eller skjermingsverdig infrastruktur uten å være autorisert eller klarert, dersom vilkårene i straffeloven § 17 om nødrett er oppfylt. En virksomhet som gir en slik tilgang, skal uten ugrunnet opphold varsle klareringsmyndigheten og Nasjonal sikkerhetsmyndighet om hvilke personer dette gjelder, og hvilket graderings- eller klassifikasjonsnivå personen har fått tilgang til.

§ 72. Oversikt over personell med autorisasjon

Den autorisasjonsansvarlige skal ha en oversikt over autorisert personell. Oversikten skal opplyse om

a.
den enkeltes navn, fødselsnummer eller tilsvarende nummer, statsborgerskap, tjenestested, saksfelt og stilling
b.
klareringsnivå og autorisasjonsnivå
c.
klareringens gyldighetstid
d.
eventuelle vilkår knyttet til klareringen
e.
datoen for en eventuell autorisasjonssamtale
f.
eventuell tilgang uten autorisasjon etter § 71.

Den autorisasjonsansvarlige skal gjøre klarerings- og autorisasjonsavgjørelser kjent for personell som har et tjenstlig behov for det.

§ 73. Dokumentasjon på autorisasjon

Hvis den autorisasjonsansvarlige utsteder dokumentasjon for at en person er autorisert, skal dokumentasjonen være tidsbegrenset og vise hvilket graderingsnivå for informasjon eller klassifiseringsnivå for objekter eller infrastruktur personen er autorisert for å få tilgang til.

§ 74. Nedsettelse, suspensjon og tilbakekallelse av autorisasjon

Dersom den autorisasjonsansvarlige vurderer om en autorisasjon skal endres eller tilbakekalles etter sikkerhetsloven § 8-10, skal vurderingen og avgjørelsen dokumenteres. Avgjørelsen kan ikke påklages.

Hvis en autorisasjon endres til ulempe for den autoriserte, skal den autorisasjonsansvarlige uoppfordret gjøre den autoriserte kjent med avgjørelsen og informere klareringsmyndigheten etter sikkerhetsloven § 8-10 første ledd. Avgjørelsen skal begrunnes overfor klareringsmyndigheten.

Dersom klareringsmyndigheten opprettholder klareringen etter å ha blitt informert etter andre ledd, skal avgjørelsen om å endre autorisasjonen omgjøres.

§ 75. Begrunnelse og dokumentasjon ved forespørsel om klarering

Når den autorisasjonsansvarlige ber om at det gjennomføres en sikkerhetsklarering, skal behovet for klareringen begrunnes og dokumenteres. Hvis begrunnelsen er at det foreligger en risiko for vilkårlig tilgang, skal den autorisasjonsansvarlige bekrefte at andre tiltak for å redusere risikoen ikke er tilstrekkelig til å fjerne behovet for klarering.

§ 76. Merking av personopplysninger for klarering og autorisasjon

Informasjon som inneholder personopplysninger i saker om autorisasjon, personkontroll eller klarering, skal merkes PERSONKONTROLL. Kravet gjelder ikke meldinger om at det er gitt en autorisasjon eller klarering eller meldinger om andre autorisasjons- eller klareringsavgjørelser til personen som avgjørelsen gjelder.

§ 77. Beskyttelse av personopplysninger for klarering og autorisasjon

Den autorisasjonsansvarlige skal bestemme hvem i virksomheten som kan få tilgang til opplysninger merket PERSONKONTROLL. Slike opplysninger skal lagres atskilt fra andre opplysninger i virksomheten, og de skal bare være tilgjengelige for det utpekte personellet.

Når virksomheter utveksler opplysninger merket PERSONKONTROLL, skal det gjøres på en slik måte at uvedkommende ikke får tilgang til opplysningene.

§ 78. Bevaring og kassasjon av opplysninger i saker om autorisasjon og klarering

Den autorisasjonsansvarlige skal uten ugrunnet opphold kassere eller returnere dokumenter som er innhentet for autorisasjon eller klarering av søkere som ikke blir tilsatt, engasjert eller opptatt på skoler eller kurs, og som inneholder personopplysninger.

Den autorisasjonsansvarlige skal bevare opplysninger i autorisasjonssaker i ett år etter at autorisasjonen er utløpt. Dersom den autoriserte er klarert, skal autorisasjonsopplysningene bevares så lenge klareringen er gyldig. Bevaringsplikten opphører dersom autorisasjonsopplysningene sendes til en ny autorisasjonsmyndighet etter § 68 tredje ledd.

Den autorisasjonsansvarlige skal bevare taushetserklæringer i 10 år etter at autorisasjonen har utløpt. Oversikter etter § 72 over personell som er eller har vært autorisert, skal bevares i 10 år etter utstedelsen.

Når bevaringstiden etter andre og tredje ledd utløper, skal autorisasjonsansvarlig kassere dokumentene.

Den autorisasjonsansvarlige skal føre et register over kassasjoner med opplysninger om

a.
hvem de kasserte opplysningene gjelder
b.
hvilken type opplysninger eller dokumenter som er kassert
c.
datoene for kassasjonene.