Innenfor sikkerhetslovens virkeområde, er personellsikkerhet en samling med tiltak som skal bidra til at innsiderrisiko forebygges. Autorisasjonsprosessen er selve kjernen i dette, og skal bidra til at personell som behandler og forvalter skjermingsverdige verdier har evne og vilje til å sette seg inn i og etterfølge de bestemmelsene som virksomheten har lagt til grunn for sikkerhetsarbeidet. Personellet skal i tillegg komme til en erkjennelse av at det å være autorisert også medfører plikter og ansvar for å bidra i arbeidet med å beskytte viktige verdier. Prosessen innebærer også at relevante sårbarhetsfaktorer knyttet til personer som skal autoriseres, blir kartlagt og vurdert.
Autorisasjon er en avgjørelse der en person som anses sikkerhetsmessig skikket, gis tilgang til sikkerhetsgradert informasjon, objekt eller infrastruktur.
Negative autorisasjonsavgjørelser
Dersom virksomhetens autorisasjonsansvarlig har opplysninger som gir rimelig grunn til å tvile på om en autorisert person lenger er sikkerhetsmessig skikket, skal det vurderes å nedsette, suspendere eller tilbakekalle autorisasjonen, jf. virksomhetsikkerhetsforskriften § 74, første ledd. Vurderingen og avgjørelsen skal dokumenteres.
Om den autoriserte også innehar en gyldig sikkerhetsklarering, skal SKM informeres om avgjørelsen med begrunnelse. Dersom vi opprettholder klareringen, skal avgjørelsen om å endre autorisasjonen omgjøres, jf. virksomhetsikkerhetsforskriften § 74, tredje ledd.
Autorisasjon av utenlandske statsborgere
Ved behov for å autorisere utenlandske statsborgere, eller personer med dobbelt statsborgerskap, for tilgang til informasjon gradert BEGRENSET, skal den autorisasjonsansvarlige vurdere om personens tilknytning til hjemlandet og hjemlandets sikkerhetsmessige betydning utgjør en uakseptabel risiko, jf. virksomhetsikkerhetsforskriften § 70, første ledd. SKM kan bistå med landvurderinger ved behov, men virksomhetene må selv gjennomføre en helhetlig vurdering av risiko knyttet til aktuelle person.
For borgere fra øvrige land kan autorisasjonsansvarlig i virksomheten autorisere vedkommende uten samtykke. Den autorisasjonsansvarlige skal orientere Nasjonal sikkerhetsmyndighet om utenlandske statsborgere som autoriseres for BEGRENSET.
Du kan lese mer om dette i sikkerhetsloven § 8-4 og virksomhetsikkerhetsforskriften § 70.
Dersom en utenlandsk borger kommer fra en stat Politiets sikkerhetstjeneste (PST) mener utgjør en høy risiko for Norge, må den autorisasjonsansvarlige innhente samtykke fra klareringsmyndigheten før det kan gis autorisasjon for BEGRENSET, jf. virksomhetsikkerhetsforskriften § 70, andre ledd.
Hvis den som skal autoriseres allerede har en allmenngyldig sikkerhetsklarering, kan vedkommende bli autorisert uten samtykke fra Sivil klareringsmyndighet.
Hvis den ansatte som skal autoriseres er utenlandsk statsborger og kommer fra en stat Politiets sikkerhetstjeneste (PST) mener utgjør en høy sikkerhetsrisiko for Norge, må virksomheten innhente samtykke for å autorisere vedkommende. Hvilke land dette gjelder kan du lese om i PSTs årlige trusselvurderinger.
Innhenting av samtykke til å autorisere skal sendes til Sivil klareringsmyndighet. Samtykke må være gitt før personen kan autoriseres for nivå BEGRENSET.
Når SKM har gitt samtykke til autorisasjon er det opp til virksomheten å gjennomføre en autorisasjonssamtale med vedkommende og avgjøre om personen er sikkerhetsmessig skikket.
- Virksomheten, med navn og kontaktinformasjon til autorisasjonsansvarlig
- Begrunnelse for behovet for autorisasjon. Arbeidsoppgaver, hvilken virksomhet som vil avgi sikkerhetsgradert informasjon, og beskrivelse av informasjonen personen vil få tilgang til. Hvis behovet for å autorisere utenlandske statsborgere følger av konkrete avtaler eller invitasjoner og lignende bør opplysninger om dette også legges ved
Opplysninger om personen som ønskes autorisert:
- Fullt navn
- Fødested
- Fødselsdato, evt. fødselsnummer (norsk/utenlandsk der det foreligger)
- Bostedsadresse
- Statsborgerskap
- Arbeidsgiver
- Kopi av pass
- Kompetansefelt (utdanningsretning og arbeidserfaring)