Säkerhetsskydd vid offentlig upphandling

Detta är ett område som jag upplever diskuteras mer och mer, och som just nu är högaktuellt med tanke på den säkerhetsskyddslag (2018:585) som trädde i kraft den 1 april 2019. Upphandling nämns uttryckligen som ett område i lagen (se till exempel 2 kap. 6§) och då i form av ett krav på att:

”Statliga myndigheter, kommuner och landsting som avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader ska se till att det i ett säkerhetsskyddsavtal anges hur kraven på säkerhetsskydd /…/ ska tillgodoses av leverantören om

  1. Det i upphandlingen förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller
  2. Upphandlingen i övrigt avser eller ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

Verksamhetsutövaren ska kontrollera att leverantören följer säkerhetsskyddsavtalet.

Det som anges i första och andra styckena gäller även för enskilda verksamhetsutövare som ingår avtal om varor, tjänster och byggentreprenader med utomstående leverantör.”

Paragrafen i sig leder egentligen till fler frågor än svar. Vad är ett säkerhetsskyddsavtal och vad ska ett sånt innehålla? Vem bestämmer nivån på säkerhetsskyddet? Vad är en säkerhetsskyddsklassificerad uppgift och vilka uppgifter kan vara av betydelse för Sverige säkerhet? Och så vidare.

Eftersom vi för tillfället jobbar med frågan i kommunen tänkte jag i det här inlägget sammanfatta lite information om det här området, dels för att det kanske finns andra som är intresserade eller behöver lära sig mer men också för att strukturera upp mina egna tankar inför vårt fortsatta arbete i kommunen. Finns det uppenbara felaktigheter eller missförstånd i texten nedan så hör gärna av er, så uppdaterar jag.

Resurser
Det finns verkligen ingen brist på information om hur man ska hantera SUA-upphandlingar. Nedan ges ett urval av resurser som kan vara bra att känna till och kanske sätta sig in i mer detaljerat. Mycket av informationen i det här inlägget baseras på dessa resurser.

Vägledning i säkerhetsskydd – Säkerhetsskyddad upphandling (SÄPO)

Blanketter och mallar (SÄPO)

Allmän information och vägledning (Upphandlingsmyndigheten):

Frågor och svar om säkerhetsskyddsavtal (FMV)

När ska ett säkerhetsskyddsavtal tecknas?
Ett säkerhetsskyddsavtal ska tecknas om det i upphandlingsförfarandet eller uppdraget förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller om leverantören ska få tillgång till säkerhetskänslig verksamhet av betydelse för Sveriges säkerhet.

Vad menas med en säkerhetsskyddsklassificerad uppgift?
Detta är uppgifter som finns i någon av de fyra säkerhetsklasserna kvalificerat hemlig, hemlig, konfidentiell eller begränsat hemlig. Det är svårt för mig att säga exakt vilka uppgifter som avses, men viss information om samhällsviktig verksamhet (som till exempel vattenförsörjning) borde kunna falla under kategorin för en kommun. För andra myndigheter skulle till exempel totalförsvarsplanering kunna vara en sådan uppgift.

Hur ska vi veta när vi ska skriva säkerhetsskyddsavtal om vi inte vet vilka uppgifter som är säkerhetsskyddsklassificerade?
Det här är en lite större fråga och berör hela organisationen, inte bara upphandlingsverksamheten. I säkerhetsskyddslagen anges att myndigheter /…/ som bedriver säkerhetskänslig verksamhet ska utreda behovet av säkerhetsskydd och dokumentera det i en säkerhetsskyddsanalys. Säkerhetsskyddsanalysen görs alltså kommunövergripande och innebär att samtliga verksamheter genomlyses. Rimligtvis kommer information om säkerhetsskyddsklassificerade uppgifter att finnas i säkerhetsskyddsanalysen, som därför blir särskilt viktig att känna till inför att en upphandling ska göras.

Om säkerhetsskyddsanalysen görs ordentligt bör det inte senare föreligga några svårigheter att identifiera när ett säkerhetsskyddsavtal behöver upprättas eller inte. Hur man gör en säkerhetsskyddsanalys ryms dock inte inom ramarna för det här inlägget.

Vad ska ett säkerhetsskyddsavtal innehålla?
Det finns bra information om detta på Säpos hemsida (se resurserna ovan). Säkerhetsskyddsavtal klassificeras i tre olika kategorier (1, 2 och 3, där 1 är den högsta klassificeringen). Vilken kategori ett säkerhetsskyddsavtal ska ingå i beror på sannolikheten att en leverantör kommer att få tillgång till säkerhetsskyddsklassificerade uppgifter, samt om leverantören får tillgång till dessa i eller utanför kommunens lokaler:

Klass 1: Leverantören kommer att utanför kommunens lokaler eller utrymmen få tillgång till säkerhetsskyddsklassificerade uppgifter. Exempel: Leverantör av IT-system som ska lagra sådana uppgifter.

Klass 2: Leverantören kommer att i verksamhetsutövarens egna lokaler få tillgång till säkerhetsskyddsklassificerade uppgifter. Exempel: Konsult som ska hjälpa till att ta fram planering av ett skalskydd för en byggnad där uppgifter om byggnadens konstruktion till viss del är säkerhetsskyddsklassificerad.

Klass 3: Leverantören kan komma att i verksamhetsutövarens egna lokaler eller utrymmen få tillgång till säkerhetsskyddsklassificerade uppgifter. Exempel: Städföretag som har personal som rör sig i kommunens lokaler.

De exempel som anges ovan är mina egna.

Vem utformar och följer upp säkerhetsskyddsavtalen?
I en mindre kommun kommer det förmodligen inte vara så lätt att upprätthålla kunskapen om detta varken i den ansvariga verksamheten eller på upphandlingsavdelningen. Enligt lagen om säkerhetsskydd ska myndigheter som lagen omfattar ha en anställd säkerhetsskyddschef som är direkt underställd myndighetens chef (kommundirektör, eller motsvarande). Rimligtvis bör denna person bli inblandad i arbetet med säkerhetsskyddsavtalen.

Hur ser upphandlingsprocessen ut?
En upphandlingsprocess där det finns risk att säkerhetsskyddsklassificerade uppgifter ska hanteras av en extern leverantör inleds med en analys om så är fallet. Om svaret är Ja, behöver ett säkerhetsskyddsavtal tas fram redan innan upphandlingen annonseras. Det utformas alltså av kommunen och det kravställs rimligen i upphandlingsdokumenten att leverantören ska skriva under avtalet.

I vissa fall bör det bli aktuellt att leverantörer måste skriva under ett säkerhetsskyddsavtal bara för att få ta del av upphandlingsdokumenten, men jag kan inte själv komma på ett exempel för när sådant skulle bli aktuellt för en kommun.

Sammanfattning och tankar
Ungefär så långt har jag kommit i min egen process med att förstå hur vi ska hantera och implementera säkerhetsskyddsavtal som en naturlig del av vår upphandlingsprocess.

För kommunerna är det länsstyrelserna som är tillsynsmyndighet avseende säkerhetsskyddet. Vi fick igår en bra genomgång av Jon Andersson vid Länsstyrelsen Skåne, inte bara om säkerhetsskyddad upphandling utan om säkerhetsskydd generellt, varför det är viktigt, vad man ska tänka på och så vidare. Otroligt värdefullt! Enkla exempel som vem som har tillgång till lokaler, vad dessa personer kan tänkas göra i lokalerna och varför. Och att vi (nästan) alla går omkring med en avlyssningsapparat i fickan i form av moderna mobiltelefoner.

Om er myndighet behöver mer information om det här området rekommenderar jag er att kontakta länsstyrelsen och se om det är någon där som kan tänka sig att hålla i en genomgång. Personer som bör vara med på se sådan genomgång är rimligtvis förvaltningschefer, IT-chef, kanslichef, upphandlare samt annan personal som kommer i kontakt med säkerhetsskyddsklassificerade uppgifter.

Jag hoppas att jag får möjlighet att återkomma till ämnet i fler blogginlägg framöver. Bloggen kommer dock inte uppdateras nu på några veckor, då jag går på ledighet. Jag återkommer därför tidigast i slutet av augusti med fler inlägg om offentlig upphandling.

Lämna ett svar

E-postadressen publiceras inte. Obligatoriska fält är märkta *