Den relevanta regleringen Inledning Inledning

I detta avsnitt redogör vi för regleringen om säkerhetsskyddsavtal och vissa andra relevanta regler i nya säkerhetsskyddslagen. Om inte annat sägs bygger redogörelsen för nya säkerhetsskyddslagen på framställningen i prop. 2017/18:89. Vi redogör också för relevanta bestämmelser i säkerhetsskyddsförordningen (2018:658), i det följ-ande kallad nya säkerhetsskyddsförordningen.

Vad är ett säkerhetsskyddsavtal?

Som tidigare sagts är en grundtanke inom säkerhetsskyddet att de intressen som lagstiftningen slår vakt om ska ha samma skydd oav-sett om verksamheten bedrivs av det allmänna eller av enskilda. I det här sammanhanget innebär det att när en utomstående aktör genom en upphandling engageras i säkerhetskänslig verksamhet ska behovet av säkerhetsskyddsåtgärder utredas och kraven på sådana åtgärder ställas upp i ett säkerhetsskyddsavtal mellan parterna. Bestämmelser om säkerhetsskyddsavtal finns i 2 kap. 6 § nya säkerhetsskyddslagen.

Det huvudsakliga syftet med ett säkerhetsskyddsavtal är att reg-lera de säkerhetsskyddsåtgärder som behövs hos leverantören för den verksamhet som omfattas av ett kontrakt om varor, tjänster eller byggentreprenader. Säkerhetsskyddsavtalet bör bl.a. innehålla överens-kommelser om säkerhetsskyddsorganisationen, informationssäker-het, behörigheter, säkerhetsprövning av personal, utbildning och kontroll, tillsyn, fördelning av kostnaderna för säkerhetsskyddet och avtalsperiod.¹ Avtalet utgör vidare en grund för att besluta om vilka anställningar och annat deltagande i verksamheten hos leveran-tören som ska placeras i säkerhetsklass (prop. 2017/18:89 s. 104).

Säkerhetsskyddsavtalet bör då i tillämpliga delar innehålla överens-kommelser om säkerhetsprövning inklusive placering i säkerhets-klass och registerkontroll.² Bestämmelserna om säkerhetsskydds-avtal är av stor betydelse för att nödvändiga tjänster och varor ska kunna upphandlas inom skyddsvärda verksamheter. Som huvudregel är säkerhetsskyddsavtalet kopplat till affärsavtalet genom att affärs-avtalet görs beroende av att åliggandena i säkerhetsskyddsaffärs-avtalet följs av leverantören (SOU 2015:25 s. 134).

Att ett säkerhetsskyddsavtal har slutits innebär inte i sig att säkerhetsskyddslagen blir tillämplig på leverantörens verksamhet.

En leverantör som redan omfattas av säkerhetsskyddslagen kan inte genom villkor i ett säkerhetsskyddsavtal få mindre långtgående åligganden i fråga om säkerhetsskydd än vad som följer av lagen.

Däremot kan ett säkerhetsskyddsavtal fylla funktionen att det preci-serar säkerhetsskyddet hos leverantören för att passa den aktuella upphandlingen eller det aktuella avtalet.

1 Säkerhetspolisen (2009), Säkerhetsskyddad upphandling – en vägledning s. 12.

2 Säkerhetspolisen (2009), Säkerhetsskyddad upphandling – en vägledning s. 12.

När finns det en skyldighet att ingå ett säkerhetsskyddsavtal?

Enligt 2 kap. 6 § nya säkerhetsskyddslagen ska statliga myndigheter, kommuner och landsting som avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader se till att det i ett säkerhetsskyddsavtal anges hur kraven på säkerhetsskydd ska tillgodoses av leverantören. Skyldigheten gäller om

1. det i upphandlingen förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller 2. upphandlingen i övrigt avser eller ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

Numera bedrivs säkerhetskänslig verksamhet ofta i enskild regi.

Kraven på säkerhetsskydd gäller därför även enskilda verksamhets-utövare. Till skillnad från statliga myndigheter, kommuner och landsting omfattas enskilda aktörer i huvudsak inte av upphandlings-lagstiftningen. När det gäller enskilda är skyldigheten att ingå säker-hetsskyddsavtal därför inte beroende av om ett avtal med en extern leverantör ingås efter ett upphandlingsförfarande eller inte. I stället gäller kravet på säkerhetsskyddsavtal även för enskilda verksamhets-utövare som ingår avtal om varor, tjänster eller byggentreprenader med utomstående leverantörer. Verksamhetsutövaren är inte bara skyldig att ingå säkerhetsskyddsavtal med en huvudleverantör utan också med eventuella underleverantörer.³

Verksamhetsutövarna måste genom villkoren i säkerhetsskydds-avtalet inte bara skydda säkerhetsskyddsklassificerade uppgifter från obehörigt röjande, utan även skydda uppgifter och informations-system ur ett riktighets- och tillgänglighetsperspektiv. Det innebär t.ex. att en verksamhetsutövare som ska upphandla programmerings-tjänster för ett informationssystem som bedöms vara säkerhets-känsligt måste fundera över säkerhetsskydd när uppgifters riktighet och tillgänglighet är centrala förutsättningar för systemet. Så kan vara fallet när det handlar om informationssystem som är vitala för förmågan att upprätthålla kritiska samhällsfunktioner. Frågan om hur uppgifters riktighet och tillgänglighet ska skyddas hos leveran-tören behöver alltså tas om hand i säkerhetsskyddsavtalet.

3 Säkerhetspolisen (2009), Säkerhetsskyddad upphandling – en vägledning s. 12.

Kravet på säkerhetsskyddsavtal enligt nya säkerhetsskyddslagen gäller inte bara avtal om varor, tjänster och byggentreprenader som direkt avser säkerhetskänslig verksamhet. Kravet gäller också när en leverantör kan få tillgång till säkerhetskänslig verksamhet utan att den avtalade tjänsten för den sakens skull gäller en säkerhetskänslig verksamhet. Det kan t.ex. vara fallet om en verksamhetsutövare träffar avtal med en leverantör som får tillgång till lokaler där säker-hetskänslig verksamhet bedrivs.

Kontroll och tillsyn över leverantören

Verksamhetsutövaren ska kontrollera att leverantören följer säker-hetsskyddsavtalet. Det finns dock även möjlighet för en myndighet som regeringen bestämmer att utöva tillsyn hos leverantörer som har träffat säkerhetsskyddsavtal (5 kap. 4 § andra stycket nya säkerhets-skyddslagen). Ett exempel på när det kan vara lämpligt är enligt förarbetena att det uppkommer situationer där tillsynsmyndigheten har tillgång till information om förestående eller pågående it-angrepp vilket gör att leverantörens informationssäkerhetsarbete behöver granskas (prop. 2017/18:89 s. 156).

Kontakter med utomstående som inte gäller anskaffning

Som vi har nämnt ovan gäller skyldigheten att ingå säkerhetsskydds-avtal enligt 2 kap. 6 § nya säkerhetsskyddslagen bara när verksamhets-utövaren avser att ingå avtal om varor, tjänster eller byggentreprenader.

Att ingå sådana avtal om varor, tjänster eller byggentreprenader kallar vi i det följande för anskaffning.

I detta avsnitt ser vi närmare på vad som gäller när verksam-hetsutövare ger utomstående tillgång till säkerhetsskyddsklassificer-ade uppgifter eller i övrigt säkerhetskänslig verksamhet på annat sätt än genom anskaffning. Vi tänker oss att det exempelvis kan handla om olika former av samarbeten eller samverkan.

Begreppet utomstående används både i nya säkerhetsskyddslagen och i nya säkerhetsskyddsförordningen men definieras inte närmare.

I förarbetena används begreppet utomstående i samband med uttal-anden om säkerhetsskyddsavtalets förhållande till grundtanken att de intressen som säkerhetsskyddsregleringen slår vakt om ska ha

samma skydd oavsett om verksamheten bedrivs av det allmänna eller av enskilda. Där sägs att när en utomstående aktör genom en upp-handling engageras i säkerhetskänslig verksamhet, ska behovet av säkerhetsskyddsåtgärder enligt 2 kap. 1 § utredas och kraven på sådana åtgärder uppställas i ett säkerhetsskyddsavtal mellan parterna (se prop. 2017/18:89 s. 104). Enligt 2 kap. 6 § tredje stycket nya säker-hetsskyddslagen gäller skyldigheten att ingå säkerhetsskyddsavtal enligt första och andra styckena samma paragraf även för enskilda verksamhetsutövare som ingår avtal om varor, tjänster och bygg-entreprenader med utomstående leverantörer. I förarbetena anges att paragrafen därmed inte bara gäller offentlig upphandling utan även när enskilda verksamhetsutövare ingår avtal med externa leveran-törer, oavsett om dessa uttryckts skriftligt eller inte, exempelvis vid affärstransaktioner mellan två bolag i samma koncern (prop. 2017/18:89 s. 142).

Vad gäller då när verksamhetsutövaren ger utomstående aktörer tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt säker-hetskänslig verksamhet på annat sätt än genom anskaffning? I 3 kap.

1 § nya säkerhetsskyddslagen och 2 kap. 3 § nya säkerhetsskydds-förordningen finns det bestämmelser om vem som ska säkerhets-prövas och vem som får delta i den säkerhetskänsliga verksamheten.

Som vi utvecklar i avsnitt 5.5 så menar vi att dessa bestämmelser gäller i fråga om anställda, praktikanter, uppdragstagare och andra som deltar i den egna säkerhetskänsliga verksamheten. Däremot torde de inte träffa utomstående, t.ex. personer som deltar i en myndighetssamverkan. Emellertid finns det vissa bestämmelser som gäller säkerhetsskyddsåtgärden informationssäkerhet som bl.a. gäller när säkerhetsskyddsklassificerade uppgifter tillgängliggörs för utom-stående. Exempelvis krävs enligt 3 kap. 5 § nya säkerhetsskydds-förordningen att säkerhetsskyddsklassificerade uppgifter som ska kommuniceras till ett informationssystem utanför verksamhetsutövar-ens kontroll ska skyddas med hjälp av kryptografiska funktioner som har godkänts av Försvarsmakten.

Kravet på säkerhetsskyddsavtal gäller inte den lägsta säkerhetsskyddsklassen

Enligt 2 kap. 5 § nya säkerhetsskyddslagen ska säkerhetsskydds-klassificerade uppgifter delas in i säkerhetsskyddsklasser utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges het. Ju allvarligare skadan kan bli av ett röjande, desto högre säker-hetsskyddsklass ska uppgiften placeras i. Den lägsta säkerhetsskydds-klassen är begränsat hemlig. Uppgifter ska placeras i denna klass om den skada som kan uppstå endast är ringa. Uppgiften placeras i klassen konfidentiell vid en inte obetydlig skada, hemlig vid en allvarlig skada och kvalificerat hemlig om skadan kan bli synnerligen allvarlig. När-mare föreskrifter om hur säkerhetsskyddsklassificering av uppgifter ska gå till meddelas i förordning eller myndighetsföreskrifter.

Om de säkerhetsskyddsklassificerade uppgifter som förekommer i en viss upphandling hör till kategorin begränsat hemlig finns det inte någon skyldighet att ingå ett säkerhetsskyddsavtal. Som fram-gått inledningsvis gäller denna skyldighet nämligen bara om det i upphandlingen förekommer uppgifter i säkerhetsskyddsklassen kon-fidentiell eller högre, eller upphandlingen i övrigt avser eller ger leve-rantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Skälen för detta är bl.a. att säkerhets-skyddad upphandling med säkerhetsskyddsavtal kan föranleda kost-nader. Det har också ansetts att behovet av ett säkerhetsskyddsavtal torde vara mindre om en upphandling berör uppgifter i den lägsta säkerhetsskyddsklassen (prop. 2017/18:89 s. 106). Det finns dock inget som hindrar att säkerhetsskyddsavtal ingås i de fall då upp-handlingen eller avtalet omfattar uppgifter i säkerhetsskyddsklassen begränsat hemlig (prop. 2017/18:89 s. 106).

Utländska leverantörer

Säkerhetsskyddslagens krav på att verksamhetsutövaren ingår säker-hetsskyddsavtal gäller även för det fall leverantören har sin juridiska hemvist i ett annat land. Dock kan det var svårt att få in ett till-räckligt bra underlag för att verksamhetsutövaren ska kunna bedöma om den utländska leverantören är lämplig från ett säkerhetsperspek-tiv. Detta har utvecklats närmare i SOU 2015:25 s. 433–435.

Det finns också särskilda regler i 3 kap. 9 § andra stycket nya säkerhetsskyddsförordningen om utländska leverantörer. Enligt be-stämmelsen får säkerhetsskyddsklassificerade uppgifter inte lämnas till en utländsk leverantör om inte Sverige har ingått en överens-kommelse om säkerhetsskydd med den andra staten och leveran-tören godkänts genom en kontroll enligt den andras statens säker-hetsskyddslagstiftning.

Det kan tilläggas att det i första stycket samma paragraf finns en bestämmelse om säkerhetsskyddsklassificerade uppgifter som lämnas till en utländsk myndighet eller en mellanfolklig organisation. Be-stämmelsen innebär att sådana uppgifter ska omfattas av ett inter-nationellt säkerhetsskyddsåtagande hos den mottagande myndig-heten eller organisationen, om det inte finns särskilda skäl för att sådana uppgifter ändå kan lämnas.

Uppdragets avslutande

När leverantören har fullgjort uppdraget som har omgetts av säker-hetsskydd ska verksamhetsutövaren säga upp säkersäker-hetsskyddsavtalet, se 8 kap. 6 § Försvarsmaktens föreskrifter om säkerhetsskydd (FFS 2015:2) och 7 kap. 7 § Säkerhetspolisens föreskrifter och allmänna råd om säkerhetsskydd (PMFS 2015:3). Enligt den vägledning för säkerhetsskyddad upphandling som Säkerhetspolisen upprättat bör det finnas rutiner för vilka åtgärder som ska vidtas när ett säkerhetsskydds-avtal sägs upp.⁴ Där anges vidare att det också är lämpligt att i säker-hetsskyddsavtalet reglera vem som ska ansvara för dessa åtgärder.

Myndigheten ska säkerställa att vad som avtalats om tystnadsplikt och sekretess i övrigt ska bestå (8 kap. 6 § FFS 2015:2 och 7 kap. 7 § PMFS 2015:3).

Anmälningsskyldighet m.m.

En enskild verksamhetsutövare som avser att ingå ett säkerhets-skyddsavtal ska utan dröjsmål anmäla det till sin tillsynsmyndighet (2 kap. 5 § nya säkerhetsskyddsförordningen). Anmälan syftar till

4 Säkerhetspolisen (2009), Säkerhetsskyddad upphandling – en vägledning s. 15.

att uppmärksamma tillsynsmyndigheten på eventuellt behov av pla-cering i säkerhetsklass och ska också utgöra underlag för myndig-hetens arbete med tillsyn över säkerhetsskyddet.

Alla verksamhetsutövare som ingår säkerhetsskyddsavtal är vidare skyldiga att anmäla det till Säkerhetspolisen (2 kap. 7 § nya säker-hetsskyddsförordningen). En sådan anmälan ska också göras när ett säkerhetsskyddsavtal upphör att gälla.

Något om tystnadsplikt

I 5 kap. 2 § första stycket nya säkerhetsskyddslagen finns en bestäm-melse om tystnadsplikt för personer som på grund av anställning eller på annat sätt deltar eller har deltagit i säkerhetskänslig verk-samhet hos en enskild verkverk-samhetsutövare. Tystnadsplikten innebär att personen inte obehörigen får röja eller utnyttja säkerhetsskydds-klassificerade uppgifter som han eller hon fått del av. I andra stycket samma paragraf erinras det om att bestämmelsen inte gäller i det allmännas verksamhet, där man i stället tillämpar bestämmelserna i offentlighets- och sekretesslagen (2009:400, OSL).

Varken bestämmelsen i 5 kap. 2 § nya säkerhetsskyddslagen eller reglerna i OSL tar sikte på enskilda leverantörer som verksamhets-utövaren har ingått säkerhetsskyddsavtal med. Det vanliga förfaran-det har hittills varit att verksamhetsutövaren i avtal ställer krav på att leverantören i sin tur ingår individuella sekretessförbindelser med sina medarbetare där de förbinder sig att inte avslöja eller på annat sätt sprida säkerhetsskyddsklassificerade uppgifter som de tar del av när de utför sina arbetsuppgifter (SOU 2018:25 s. 354). Medarbet-arnas sekretessförbindelser gäller i förhållande till arbetsgivaren och en eventuell överträdelse kan inte leda till ansvar för brott mot tystnadsplikt. Som nyss sagts åligger det verksamhetsutövaren att se till att det som avtalats om sekretess och tystnadsplikt ska bestå även efter det att säkerhetsskyddsavtalet har sagts upp.

5.3 Förhållandet mellan säkerhetsskyddslagen