Nyheter

Säkerhetsskyddsavtal – har ni koll på era hemliga uppgifter?

I dagsläget är säkerhetsfrågor mer aktuella än någonsin. I medierna hör man frekvent rapporter om dataintrång och leverantörer måste i allt större utsträckning ta hänsyn till informationssäkerhet i det dagliga arbetet.

Under 2019 trädde en ny säkerhetsskydds-lagstiftning i kraft som i allra högsta grad påverkar arbetet för många av landets leverantörer till offentlig sektor. Det huvudsakliga verktyget för en säkerhetsskyddad upphandling är själva säkerhetsavtalet som tecknas mellan leverantör och upphandlande myndighet.

Vi bad advokaterna Christoffer Stavenow och Max Thimmig på Stavenow advokatbyrå förklara de mest grundläggande aspekterna av säkerhetsskyddsavtalet och vad man ska tänka på inför tecknandet av ett säkerhetsskyddsavtal. De är även aktuella med boken ”Säkerhetsskyddad upphandling – juridik och praktik” och i höst genomför vi tillsammans en unik utbildningssatsning för SBSC:s kunder.

Vad är ett säkerhetsskyddsavtal?

Säkerhetsskyddsavtalet, som även är känt som SUA-avtal, tecknas vid sidan av det allmänna avtal som tecknas vid en upphandling och reglerar själva ramen för säkerhetsskyddsrutinerna som ska gälla för den som är leverantör i en situation där det förekommer uppgifter som omfattas av säkerhetsskydd.

Syftet med säkerhetsskyddsavtalet är att de intressen som säkerhetsskyddslagstiftningen värnar om ska hanteras med samma säkerhetsskyddsnivå oavsett var, när och hur verksamheten bedrivs. Det är därför det är så viktigt att avtalets innehåll blir rätt från början.

Vilka uppgifter ska finnas i säkerhetsskyddsavtalet?

Om det inte redan skett, ska den upphandlande myndigheten utreda vilka uppgifter i dess verksamhet som bör säkerhetsskyddsklassificeras, i vilken nivå dessa ska klassificeras, och som kan föranleda att ett säkerhetsskyddsavtal behöver upprättas innan leverantören får ta del av uppgifterna.

Det kan exempelvis vara uppgifter om flygplatser, dricksvattenförsörjning eller hamnar. Den upphandlande myndigheten ska även kartlägga vilka samhällsviktiga verksamheter som behöver säkerhetsskydd.

I vilka situationer ska då ett säkerhetsskyddsavtal upprättas?

Detta är en mycket relevant fråga. Svaret är att ett säkerhetsskyddsavtal ska upprättas för samtliga upphandlingar eller motsvarande som rör säkerhetsskyddsklassificerade uppgifter från säkerhetsskyddsklassen ”begränsat hemlig” och uppåt eller säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet ska ett säkerhetsskyddsavtal upprättas.

Enligt lag måste även myndighetens säkerhetsskyddschef eller säkerhetsansvarig medverka vid förhandlingen. Om förfrågningsunderlaget innehåller hemliga uppgifter ska ett säkerhetsskyddsavtal träffas redan innan underlaget lämnas ut till anbudsgivaren. Om förfrågningsunderlaget däremot inte innehåller hemliga uppgifter ska säkerhetsskyddsavtal träffas senast innan affärsavtalet träffas. Detta för att garantera att det finns ett bra säkerhetsskydd redan innan företaget får ta del av hemliga uppgifter.

Den upphandlande myndigheten ska dessutom kontrollera att leverantören följer säkerhetsskyddsavtalet. Det är även den upphandlande myndigheten som ansvara för förhandlingarna med leverantörer om säkerhetsskyddsavtal och inte Säkerhetspolisen eller någon annan tillsynsmyndighet vilket man skulle kunna tro.

Finns det speciella krav på hur ett säkerhetsskyddsavtal ska vara utformat?

Det finns vissa formkrav som ett säkerhetsskyddsavtal måste uppfylla, bland annat finns krav på att avtalet måste vara skriftligt. Vidare bör avtalet innehålla bestämmelser det som gäller under avtalsperioden rörande säkerhetsskyddsorganisation, säkerhetskyddsinstruktion, informationssäkerhet, behörighet, tillträdesbegränsning, tillsyn, utbildning och kontroll, tystnadsplikt och säkerhetsprövning. Säkerhetsskyddsavtalet utgör grunden för uppdragets placering i säkerhetsklass och beslut om registerkontroll.

Mallar för hur ett säkerhetsskyddsavtal bör utformas finns att hämta hos Säkerhetspolisen. Dessa finns i tre varianter, en för varje säkerhetsskyddsavtalsnivå, och de måste alltid anpassas till det aktuella uppdraget och de säkerhetsskyddsåtgärder som har bedömts vara nödvändiga. De tre nivåerna av säkerhetsskyddsavtal ska användas i olika situationer beroende på var uppdraget som innehåller den säkerhetsskyddade informationen ska utföras och vilken sorts säkerhetsskyddad infromation det rör sig om; är den kvalificerat hemlig eller konfidentiell? Ska uppdraget utföras hos leverantören eller hos den upphandlande myndigheten? Detta är viktig information som man måste veta om för att kunna använda rätt nivå av säkerhetsskyddsavtal.

För vilka gäller avtalet?

Säkerhetsskyddsavtalet gäller både för huvudleverantörer och för de eventuella underleverantörer som tar del av hemliga uppgifter under uppdraget. Samtliga personer som ska delta i det aktuella uppdraget och som kan antas få del av hemliga uppgifter ska säkerhetsprövas. De individer som får del av hemliga uppgifter eller deltar i verksamheten ska även upplysas om den tystnadsplikt som gäller för uppdraget i fråga.

Ett säkerhetsskyddsavtal ska även i vissa fall ske i olika former av samråd med den tillsynsmyndighet som är aktuell för respektive myndighet. Exempelvis måste statliga myndigheter som ska genomföra en säkerhetsskyddad upphandling med säkerhetsskyddsavtal nivå 1 samråda med Säkerhetspolisen och upprätta en särskild säkerhetsanalys innan upphandlingen inleds. Övriga upphandlande myndigheter är skyldiga meddela tillsynsmyndigheten när SUA avtal har ingåtts eller upphört att gälla.

Utöver säkerhetsskyddsavtalet, vad mer kan man göra för att öka säkerhetsskyddet?

Säkerhetsskyddsavtalet lägger ramen för hur samarbetet kring säkerhetsskydd mellan leverantör och upphandlande myndighet kommer att se ut. För att uppnå ett fullgott säkerhetsskydd och undvika oönskade konsekvenser som exempelvis fallet Transportstyrelsen, är det viktigt att man som upphandlare har koll på säkerhetsskydds-riskerna och säkerhetsskyddsregelverket. Detta gör man bäst genom utbildning och genom samarbete med tillsynsmyndigheter och leverantörer.

Om man köper er bok, vad får man veta mer om då?

Den som köper vår bok får veta mer om hur säkerhetsskyddade upphandlingar går till i praktiken och den bakomliggande juridiken. Boken går steg för steg pedagogiskt igenom förfarandet vid en säkerhetsskyddad upphandling så att den som är leverantör får en full koll över vad som kommer att efterfrågas av en upphandlande myndighet vid en upphandling som innehåller säkerhetsskyddade uppgifter. Boken går igenom hela processen från det förarbete som utförs innan upphandlingen annonseras till hur det går till när ett uppdrag avslutas. Målet med boken är bland annat att öka mervärdena för båda parter i en offentlig affär som innehåller säkerhetsskyddade uppgifter genom ökad kunskap.

Vill du lära dig mer?

Vi hälsar alla SBSC-kunder välkomna till informationsträffar tillsammans med Christoffer Stavenow och Max Thimmig under hösten. Intresseanmälan är öppen och datum meddelas så snart vi kan med hänsyn till covid-19.

Boken ”Säkerhetskyddad upphandling – juridik och praktik” finns att köpa här.

Prenumerera på vårt nyhetsbrev

Håll dig uppdaterad kring det senaste inom brand- och säkerhetscertifiering.

This site is registered on wpml.org as a development site.