Bestämmelsernas närmare utformning

Bestämmelserna i 2 kap. 6 § nya säkerhetsskyddslagen gäller när en offentlig verksamhetsutövare avser att genomföra en upphandling eller en enskild verksamhetsutövare ingår ett avtal om varor, tjänster eller byggentreprenader med utomstående leverantörer. Skyldigheten att ingå ett säkerhetsskyddsavtal gäller bara om det i upphandlingen eller avtalet förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller upphandlingen i övrigt avser eller ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

Våra bedömningar i det föregående innebär att skyldigheten att ingå säkerhetsskyddsavtal bör gälla i fler fall än som följer av den nyss beskrivna regleringen i 2 kap. 6 § nya säkerhetsskyddslagen.

Förutom upphandling och andra avtal bör skyldigheten att ingå säkerhetsskyddsavtal även gälla vid andra typer av samverkan och samarbete. Det är varken möjligt eller lämpligt att i en föränderlig värld försöka uttömmande definiera vilken sorts samverkan och vilka slags samarbeten det kan röra sig om. Bestämmelsen bör därför vara så neutralt utformad att den omfattar även nya samverkans- och samarbetsformer som uppkommer i framtiden. Vilka undantag från skyldigheten som bör gälla eller vara möjliga har vi utvecklat i av-snitt 5.4.4–5.4.6.

Vi ser i övrigt endast anledning till mindre ändringar i fråga om villkoren för att det ska råda ett krav på säkerhetsskyddsavtal. Som vi har utvecklat i avsnitt 5.4.3 bör det avgörande vara om säker-hetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verk-samhet kan exponeras för någon utomstående. Regleringen bör därför även i fortsättningen bygga på i allt väsentligt motsvarande förut-sättningar, även om ordalydelsen i 2 kap. 6 § nya säkerhetsskydds-lagen måste anpassas något för att passa för även annat än upp-handlingar och avtal om anskaffningar. Regleringen bör innebära ett krav på säkerhetsskyddsavtal om det planerade förfarandet innebär att den utomstående parten kan få tillgång till säkerhetsskydds-klassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller i övrigt avser eller kan ge den utomstående parten till-gång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Dessa skrivningar innebär att kravet på expo-nering mjukas upp något, eftersom det blir tillräckligt att förfarandet kan leda till exponering.

Bestämmelserna om säkerhetsskyddsavtal bör även i fortsätt-ningen vara framåtsyftande på så sätt det de ska tillämpas redan när verksamhetsutövaren avser att genomföra en upphandling, ingå ett avtal eller inleda någon annan form av samverkan eller samarbete med en utomstående part. Uttrycket utomstående part är tänkt att omfatta exempelvis en annan myndighet eller ett annat företag, även sådana som ingår i samma koncern. När det gäller anskaffningar mellan statliga myndigheter bör det enligt vår bedömning sakna bety-delse att dessa ingår i samma juridiska person, nämligen staten.

Däremot bör det, som vi tidigare kommit fram till, göras ett undan-tag för andra former av samverkan och samarbeten mellan sådana myndigheter.

Ordet avser innebär en markering av att säkerhetsskyddsavtalet i princip måste vara på plats när samarbetet eller samverkan inleds, eller avtalet ingås.

Bestämmelsen om avtalets innehåll bör av redaktionella skäl flyttas till en egen paragraf i 2 kap. Det finns också skäl att komplettera den med en bestämmelse om att verksamhetsutövaren har en rätt att revidera säkerhetsskyddsavtalet vid ändrade förhållanden. Vi utveck-lar skälen för detta i avsnitt 6.11.3. Revideringen bör självfallet ske i samverkan med den utomstående part som man ingått säkerhets-skyddsavtal med.

Det bör även i fortsättningen krävas att verksamhetsutövaren kontrollerar att motparten lever upp till kraven i säkerhetsskydds-avtalet. Även denna bestämmelse bör dock av redaktionella skäl flyttas till en egen paragraf i 2 kap. I konsekvens med tillägget om rätt till revidering vid ändrade förhållanden bör det också införas en skyl-dighet för verksamhetsutövaren att se till att sådan revidering sker.

Skälen för detta utvecklas i avsnitt 6.11.3.

Särskilt om aggregerade uppgifter

Som vi har angett i avsnitt 5.1 ingår det inte i vårt uppdrag att över-väga ändringar när det gäller kravet på att de uppgifter som expo-neras för den utomstående parten har en viss säkerhetsskyddsklassi-ficering. Våra resonemang utgår alltså ifrån att det handlar om upp-gifter i säkerhetsskyddsklassen konfidentiell eller högre, eller om i övrigt säkerhetskänslig verksamhet av motsvarande betydelse. En särskild fråga är dock hur man bör hantera situationen att ett pla-nerat förfarande, t.ex. en utkontraktering av viss it-drift, involverar en stor mängd uppgifter som sedda var för sig är klassificerade som begränsat hemliga, eller som inte är säkerhetsskyddsklassificerade alls, men som sammantagna kan vara betydligt känsligare i förhåll-ande till Sveriges säkerhet. Det kan t.ex. handla om situationer där uppgifter som sammanställts har bearbetats eller kan bearbetas så att man av sammanställningen kan utvinna en annan och mer känslig information än av uppgifterna var för sig. En annan situation kan

vara att den sammanställda informationen visar på exempelvis bero-enden mellan olika verksamheter, förmåga, sårbarheter eller andra för-hållanden som kan leda till en inte obetydlig skada för Sveriges säkerhet om den röjs.

Det kan av förarbetena utläsas att sammanställningar av uppgifter från olika källor kan göra att den sammanställda informationen kan anses utgöra säkerhetsskyddsklassificerade uppgifter även om infor-mationen härrör från öppna källor (prop. 2017/18:89 s. 45). Upp-gifterna i en sammanställning kan alltså vara säkerhetsskyddsklassi-ficerade, fastän de i ett annat sammanhang inte är det var och en för sig. Det framgår vidare av förarbetena att verksamhetsutövarna, vid sin klassificering av uppgifter, måste bedöma om en samling av upp-gifter i en viss säkerhetsskyddsklass medför att en högre säkerhets-skyddsklass ska tillämpas. Samtidigt påpekas det att man med hän-syn till behovet av att undvika onödiga administrativa kostnader och ingrepp i enskildas integritet m.m. inte bör göra klassificeringen i större utsträckning och med placering i högre klass än vad som är nödvändigt (prop. 2017/18:89 s. 67).

Förarbetsuttalandena kan tolkas så att verksamhetsutövarna i sitt arbete med säkerhetsskyddsklassificering är skyldiga att beakta mängden uppgifter och konsekvenserna av att de sammanställs. Rättsläget kan alltså uppfattas på det sättet att en mängd uppgifter som, sedda var för sig, är att bedöma som begränsat hemliga bör klassificeras som konfidentiella om de finns i en samling och skadan vid röjande skulle bli inte obetydlig. Detta är en lämplig ordning och föranleder inte några förslag från vår sida.

Säkerhetsskyddsavtalet är normalt ett särskilt avtal

Under vårt arbete har frågan aktualiserats om säkerhetsskydds-avtalet måste vara ett särskilt avtal, eller om det kan utgöra en del av affärsavtalet eller samverkansavtalet mellan parterna. Vår uppfatt-ning är att det normalt bör vara fråga om ett tydligt urskiljbart särskilt avtal. Ett skäl för detta är skyldigheten att ingå ett säkerhets-skyddsavtal gäller redan för den som avser att vidta vissa åtgärder.

Normalt måste säkerhetsskyddsavtalet ingås före affärs- eller samarbets-avtalet. Detta gäller i synnerhet om det redan i t.ex. ett

förfrågnings-underlag inför en upphandling ska tas in säkerhetsskyddsklassi-ficerade uppgifter. Ett annat skäl för att säkerhetsskyddsavtalet bör hållas separat är att det annars blir svårare för tillsynsmyndigheterna att kontrollera att verksamhetsutövare fullgör sina skyldigheter när det gäller säkerhetsskyddsavtal. Detta blir än viktigare om man, som vi föreslår i avsnitt 9.8, inför sanktioner för den verksamhetsutövare som åsidosätter sina skyldigheter. Det bör också framhållas att det av andra skäl kan vara viktigt att säkerhetsskyddsavtalet hålls utanför affärsavtalet. Det kan t.ex. vara så att affärsavtalet innehåller affärs-hemligheter som inte är relevanta för tillsynsmyndigheterna att ta del av. Slutligen är ett viktigt argument att säkerhetsskyddsavtalet utgör en rättslig grund för vissa ingripande åtgärder, däribland säkerhetsprövning av motpartens personal. Det är då ytterst viktigt att det är tydligt att det är fråga om ett sådant avtal som avses i 2 kap.

6 § nya säkerhetsskyddslagen.