Använda säkerhetsskydd i upphandlingar
Här kan du läsa om vad som gäller för säkerhetsskyddsavtal, säkerhetsklassning, säkerhetsprövning, tystnadsplikt, utländsk personal och utländska leverantörer samt andra åtgärder som måste vidtas i samband med säkerhetsskyddade upphandlingar.
Innehåll på denna sida
- Vad innebär ett säkerhetsskyddsavtal?
- Hur används säkerhetsskyddsavtal i upphandlingar?
- Säkerhetsskyddsavtal med nivåerna 1–3
- Säkerhetsklassning enligt en 3-gradig skala
- Skillnad mellan säkerhetsskyddsavtal med nivå 1–3 och säkerhetsklassning 1–3
- Säkerhetsskyddsavtalets särställning i upphandlingsdokumenten
- Vad innebär en säkerhetsprövning?
- Vad innebär tystnadsplikt?
- Deltagande av utländska medborgare och leverantörer i säkerhetsskyddade uppdrag
- Andra åtgärder som måste vidtas i samband med säkerhetsskyddade upphandlingar
- Snabblänkar till vårt stöd för säkerhetsskyddad upphandling
Äldre information i stödet
Det här stödet om säkerhetsskyddad upphandling innehåller hänvisningar till äldre regler och håller därför på att ses över. Om du har frågor är du välkommen att kontakta oss via vår Frågeportal.
Bestämmelserna gäller vid upphandlingar enligt
- lagen om offentlig upphandling (LOU)
- lagen om upphandling inom försörjningssektorerna (LUF)
- lagen om upphandling av koncessioner (LUK)
- lagen om upphandling på försvars- och säkerhetsområdet (LUFS).
Vad innebär ett säkerhetsskyddsavtal?
Kraven på hur säkerhetsskyddet ska tillgodoses av leverantören anges i ett säkerhetsskyddsavtal. Leverantörens efterlevnad av villkoren i säkerhetsskyddsavtalet ska bland annat kontrolleras genom regelbunden kontroll av säkerhetsskyddet och utbildning av personalen.
Skyldigheten att ingå säkerhetsskyddsavtal aktualiseras vid upphandling eller vid avtal beroende på vilken aktör det rör sig om. Mer om hur olika aktörer omfattas av säkerhetsskyddslagstiftningen
När förutsättningarna är uppfyllda uppstår skyldigheten att ingå säkerhetsskyddsavtal om:
- det förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller
- det i övrigt avser eller ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.
Bestämmelsen enligt den första punkten utgör inget hinder för att säkerhetsskyddsavtal ingås trots att det rör sig om en situation där endast säkerhetsskyddsklassificerade uppgifter i den lägsta säkerhetsskyddsklassen förekommer. Säkerhetspolisens föreskrifter kan dock vara till hjälp när en bedömning görs för fall som gäller den lägsta säkerhetsskyddsklassen.
Andra punkten avser situationer som inte berör säkerhetsskyddsklassificerade uppgifter men som ger tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. I förarbetena till den nya säkerhetsskyddslagen tas informationssystem och andra elektroniska kommunikationslösningar upp som exempel. Det kan alltså avse vitala funktioner för samhället som medför höga krav på tillgänglighet och riktighet. Bestämmelsen kan också aktualiseras för säkerhetskänslig verksamhet i övrigt. Kärnkraftverk och flygplatser kan utgöra några exempel där den säkerhetskänsliga verksamheten enbart i begränsad omfattning avser säkerhetsskyddsklassificerade uppgifter.
Hur används säkerhetsskyddsavtal i upphandlingar?
Säkerhetsskyddsavtalet upprättas som ett separat avtal i upphandlingsdokumenten. En av de grundläggande principerna i upphandling är principen om öppenhet. För att beakta den principen bör det tydligt framgå av upphandlingsdokumenten om ett säkerhetsskyddsavtal ska ingås.
De grundläggande upphandlingsprinciperna
Säkerhetsskyddsavtal kan bland annat reglera följande:
- säkerhetsskyddsorganisation
- säkerhetsskyddsinstruktion
- informationssäkerhet
- behörighet
- fysisk säkerhet
- personalsäkerhet
- utbildning och kontroll
- tillsyn
- fördelning av kostnaderna för säkerhetsskyddet
- tystnadsplikt
- äganderättsförhållanden
- avtalsperiod.
Säkerhetsskyddsavtal med nivåerna 1–3
Ett säkerhetsskyddsavtal ska bland annat säkerställa att säkerhetsskyddsklassificerade uppgifter får samma säkerhetsskydd hos leverantören som verksamhetsutövaren tillämpar på sin egen verksamhet. I säkerhetsskyddslagstiftningen nämns inget om säkerhetsskyddsavtalets olika nivåer. Säkerhetsskyddsavtalets olika nivåer regleras däremot i Säkerhetspolisens föreskrifter. Nivåerna för säkerhetsskyddsavtal har tagits fram av Säkerhetspolisen och Försvarsmakten i syfte att anpassa säkerhetsskyddsavtalets innehåll till upphandlingsföremålets skyddsbehov.
Generellt innebär de olika nivåerna på säkerhetsskyddsavtal följande:
Leverantören kommer att utanför verksamhetsutövarens lokaler eller utrymmen
- få tillgång till eller möjlighet att förvara säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller
- få tillgång till säkerhetskänslig verksamhet där åtkomst till verksamheten kan medföra en inte obetydlig skada för Sveriges säkerhet.
Leverantören kommer att i verksamhetsutövarens egna lokaler eller utrymmen
- få tillgång till eller möjlighet att förvara säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller
- få tillgång till säkerhetskänslig verksamhet där åtkomst kan medföra en inte obetydlig skada för Sveriges säkerhet.
Leverantören kan komma att i verksamhetsutövarens egna lokaler eller utrymmen
- få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiellt eller högre, eller
- få tillgång till säkerhetskänslig verksamhet där åtkomst kan medföra en inte obetydlig skada för Sveriges säkerhet.
Mer information om säkerhetsskyddsavtalets olika nivåer finns hos Säkerhetspolisen
Säkerhetsklassning enligt en 3-gradig skala
Placering i säkerhetsklass enligt den 3-gradiga skalan regleras och definieras i säkerhetsskyddslagstiftningen. Säkerhetsklassning av anställda eller de som på annat sätt deltar i verksamheten beror framförallt på i vilken omfattning de berörda får ta del av säkerhetsskyddsklassificerade uppgifter eller om deltagandet i verksamheten har möjlighet att skada Sveriges säkerhet. Notera skillnaden i innebörden av att placera personal i säkerhetsklass och att säkerhetsskyddsklassificera uppgifter, det senare avser uppgifternas säkerhetsskyddsklass.
Mer om säkerhetsskyddsklassificering
Exempelvis ska en anställning eller något annat deltagande i säkerhetskänslig verksamhet placeras i säkerhetsklass 1, om den anställde eller den som på annat sätt deltar i verksamheten
- i en omfattning som inte är ringa får del av uppgifter i säkerhetsskyddsklassen kvalificerat hemlig, eller
- till följd av sitt deltagande i verksamheten har möjlighet att orsaka synnerligen allvarlig skada för Sveriges säkerhet.
För enskilda verksamhetsutövare gäller att de själva inte kan fatta beslut om placering i säkerhetsklass för den utomstående leverantörens personal. Detta ska hanteras av ansvarig tillsynsmyndighet.
Skillnad mellan säkerhetsskyddsavtal med nivå 1–3 och säkerhetsklassning 1–3
Säkerhetsskyddsavtalets olika nivåer ska inte förväxlas med säkerhetsklassningens gradering. Säkerhetsskyddsavtalet utgör grunden för uppdragets placering i säkerhetsklass. Säkerhetsskyddsavtalet innehåller de säkerhetsskyddsvillkor som ska gälla under avtalstiden medan personer i befattningar och funktioner som hanterar säkerhetsskyddsklassificerade uppgifter eller har möjlighet att skada Sveriges säkerhet placeras i säkerhetsklass. Ett tecknat säkerhetsskyddsavtal utgör en förutsättning för att placera leverantörens personal i säkerhetsklass.
Säkerhetsskyddsavtalet kan upprättas i tre olika nivåer. I dessa sammanhang brukar man ibland tala om ”SUA-avtal med nivå 1–3”. Placering i säkerhetsklass sker också enligt en 3-gradig skala för de befattningar och funktioner som blir aktuella.
Säkerhetsskyddsavtalets särställning i upphandlingsdokumenten
Ett giltigt säkerhetsskyddsavtal är en förutsättning för att verksamhetsutövaren ska kunna teckna ett kontrakt eller ett ramavtal med leverantören. Det är först efter att säkerhetsskyddsavtalet har ingåtts som parterna kan ingå bindande kontrakt eller ramavtal.
Säkerhetsskyddsavtal ska alltid ingås innan ramavtalet eller kontraktet tecknas. Ingår parterna ramavtalet eller kontraktet innan säkerhetsskyddsavtalet har tecknats finns risken att leverantören får ta del av säkerhetsskyddsklassificerade uppgifter innan en säkerhetsprövning har skett. Det kan också uppstå svårigheter om leverantören efter att ramavtalet eller kontraktet har ingåtts vägrar att underteckna säkerhetsskyddsavtalet.
Säkerhetsskyddsavtalets villkor ska på samma sätt som gäller för övriga avtalsvillkor framgå i upphandlingsdokumenten. Om det förekommer motstridiga uppgifter i kontraktet eller ramavtalet ska säkerhetsskyddsavtalet ha företräde vilket ska framgå av såväl upphandlingsdokumenten som av det kontrakt eller ramavtal som parterna ingår. Det bör i kontraktet eller ramavtalet dessutom finnas hävningsvillkor för det fall leverantören inte fullgör sina åtaganden enligt säkerhetsskyddsavtalet.
Om standardiserade kontrakt eller ramavtal används ska den justeras och anpassas för den säkerhetsskyddade upphandlingen. Detsamma gäller för Säkerhetspolisens mallar om säkerhetsskyddsavtal som endast anger vad som minst ska ingå. Det kan också vara nödvändigt att i upphandlingsdokumenten ställa krav på att anbudsgivare eller anbudssökande ska försäkra att säkerhetsskyddsavtalets villkor accepteras.
Vad innebär en säkerhetsprövning?
En säkerhetsprövning syftar till att klarlägga om en person kan antas vara lojal mot de intressen som skyddas enligt säkerhetsskyddslagstiftningen och i övrigt är pålitlig utifrån en säkerhetssynpunkt. En säkerhetsprövning ska göras av den aktuella personalen innan anställningen eller deltagandet i den säkerhetskänsliga verksamheten påbörjas. Säkerhetsprövningen kan bland annat innefatta grundutredning, registerkontroll och särskild personutredning.
Vad innebär tystnadsplikt?
I säkerhetsskyddslagstiftningen har det införts krav på tystnadsplikt. Den som på grund av anställning eller på annat sätt deltar eller har deltagit i säkerhetskänslig verksamhet får inte obehörigen röja eller utnyttja säkerhetsskyddsklassificerade uppgifter.
Upplysningsplikten innebär att verksamhetsutövaren ska upplysa den som tillåts ta del av säkerhetsskyddsklassificerade uppgifter om räckvidden och innebörden av den sekretess och tystnadsplikt som följer av OSL respektive säkerhetsskyddslagen.
Det finns ett straffrättsligt ansvar enligt brottsbalken för den som bryter mot tystnadsplikten. I dessa sammanhang kan verksamhetsutövaren upprätta en så kallad ”erinran om tystnadsplikt” som undertecknas av den som får tillgång till säkerhetsklassificerade uppgifter. En erinran om tystnadsplikt innehåller dels en påminnelse om den lagstadgade tystnadsplikten som är begränsad till säkerhetsskyddsklassificerade uppgifter, dels en sekretessförbindelse som omfattar sekretessbelagda uppgifter.
Tystnadsplikten gäller även efter att uppdraget har upphört att gälla varför verksamhetsutövaren ska påminna den som det berör om detta. Den som får tillgång till säkerhetsklassificerade uppgifter kan därför få underteckna erinran om tystnadsplikt igen vid uppdragets avslutande.
Mer information om tystnadsplikt i upphandlingar finns hos Säkerhetspolisen.
Deltagande av utländska medborgare och leverantörer i säkerhetsskyddade uppdrag
Det finns inga hinder enligt säkerhetsskyddslagstiftningen att anlita utländska medborgare eller leverantörer för säkerhetsskyddade uppdrag som därigenom får ta del av säkerhetsskyddsklassificerade uppgifter. Detta ska inte förväxlas med vad som gäller för säkerhetsklassade anställningar i staten, en kommun eller en region (tidigare landsting) som kan kräva svenskt medborgarskap. Enligt den nya säkerhetsskyddslagen gäller att en anställning i staten, en kommun eller en region (tidigare landsting) som är placerad i säkerhetsklass 1 eller 2 endast får innehas av den som är svensk medborgare. Endast om det finns särskilda skäl får regeringen i enskilda fall medge undantag från kravet på svenskt medborgarskap. Det innebär att anställningar som är placerade i säkerhetsklass 3 får innehas av utländska medborgare.
Det är lite olika procedurer som aktualiseras beroende på om det rör sig om utländsk personal eller om det rör sig om utländska leverantörer.
Om det blir aktuellt att använda utländsk personal kan säkerhetsprövningen av dessa visa sig vara svårare att utföra. Det beror bland annat på att registerkontroller som utförs på utländska medborgare inte alltid ger tillräcklig med information. Säkerhetsprövning av utländska medborgare bör därför anpassas i syfte att uppnå en korrekt och likvärdig säkerhetsprövning. Det kan exempelvis innebära högre krav på inhämtning av referenser med mera.
För utländska leverantörer kan det bli aktuellt att kontrollera om Sverige har ingått ett säkerhetsskyddsavtal på nationell nivå, ett så kallat GSA (general security agreement), med berörda länder i säkerhetsskyddade upphandlingar där utländska leverantörer deltar. Information om vilka länder som har tecknat ett säkerhetsskyddsavtal med Sverige finns hos Utrikesdepartementet.
Enligt säkerhetsskyddsförordningen får säkerhetsskyddsklassificerade uppgifter bland annat inte lämnas till en utländsk leverantör om inte Sverige har ingått en överenskommelse om säkerhetsskydd med den andra staten och leverantören har godkänts genom en kontroll enligt den andra statens säkerhetsskyddslagstiftning. Den utländska myndigheten genomför då en säkerhetsprövning av leverantören som har sitt säte i det land som den utländska myndigheten verkar i.
I övergångsbestämmelserna till säkerhetsskyddsförordningen finns det undantag från denna bestämmelse. Bestämmelsen om när säkerhetsskyddsklassificerade uppgifter får lämnas till en utländsk myndighet, mellanfolklig organisation eller utländsk leverantör behöver inte tillämpas förrän den 1 januari 2022. Detta påverkar dock inte verksamhetsutövarens skyldighet att upprätthålla ett fullgott säkerhetsskydd.
Andra åtgärder som måste vidtas i samband med säkerhetsskyddade upphandlingar
I samband med säkerhetsskyddade upphandlingar ska verksamhetsutövaren också följa bestämmelserna om samrådsskyldighet och anmälningsplikt.
Samrådsskyldigheten innebär att statliga myndigheter innan upphandlingsförfarandet inleds i vissa fall kan bli skyldiga att samråda med sin tillsynsmyndighet som är antingen Säkerhetspolisen eller Försvarsmakten. Se Säkerhetspolisens information om samråd vid säkerhetsskyddad upphandling
Enligt praxis anses upphandlingsförfarandet ha påbörjats när den upphandlande myndigheten eller enheten (upphandlande organisationen) beslutat att inleda ett upphandlingsförfarande och detta beslut kommit till kännedom utåt. Det kan exempelvis ha skett genom att den upphandlande organisationen tagit någon form av extern kontakt att anskaffa det som beslutet avser. Tidpunkten för när en upphandlande myndighets eller enhets beslut kan bli föremål för överprövning får också betydelse vid denna bedömning.
Anmälningsskyldigheten innebär att verksamhetsutövaren när den har ingått ett säkerhetsskyddsavtal ska anmäla det till Säkerhetspolisen. Anmälan till Säkerhetspolisen ska också göras när säkerhetsskyddsavtalet upphör att gälla.
Även personer som har placerats i säkerhetsklass ska avanmälas när säkerhetsskyddsavtalet upphör att gälla. Det innebär att när en anställning eller något annat deltagande som har föranlett en placering i säkerhetsklass upphör ska verksamhetsutövaren skyndsamt till Säkerhetspolisen anmäla att registerkontrollen ska avslutas.
Källhänvisningar
- säkerhetsskyddslagen (2018:585)
- säkerhetsskyddsförordningen (2018:658)
- Säkerhetspolisens föreskrifter om säkerhetsskydd, PMFS 2019:2
- ett modernt och stärkt skydd för Sveriges säkerhet – ny säkerhetsskyddslag, prop. 2017/18:89
- Säkerhetspolisen, Säkerhetsskyddad upphandling – en vägledning, 2009/2010, s. 12
- se mer om säkerhetsskyddsavtal och dess nivåer på Säkerhetspolisens och Försvarsmaktens webbplatser
- brottsbalken (1962:700)
- Säkerhetspolisen, 10 tips för säkrare outsourcing
- HFD 2013 ref. 31.