Skyldigheten att ingå säkerhetsskyddsavtal bör utgå från exponeringen av säkerhetsskyddsklassificerade

uppgifter eller i övrigt säkerhetskänslig verksamhet Kravet på säkerhetsskyddsavtal bör inte vara begränsat till upphandling eller andra anskaffningar

Som tidigare framgått är det en grundläggande princip inom säker-hetsskyddet att de intressen som lagstiftningen slår vakt om ska ha samma skydd oavsett om verksamheten bedrivs av det allmänna eller av enskilda (se t.ex. prop. 1995/96:129 s. 34). En naturlig konsekvens av denna princip är att informationens eller verksamhetens skydds-värde ska upprätthållas när en aktör som bedriver säkerhetskänslig verksamhet avser att ge någon utomstående tillgång till säkerhets-skyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksam-het. Detta framhålls också i våra direktiv. Regleringen om säkerhets-skyddsavtal i 2 kap. 6 § nya säkerhetsskyddslagen bygger på denna tanke och är tillämplig just när säkerhetsskyddsklassificerade upp-gifter eller i övrigt säkerhetskänslig verksamhet ska exponeras för någon utomstående. Regleringen är dock begränsad till vissa situa-tioner, nämligen till situationer där en verksamhetsutövare som om-fattas av lagen avser att anskaffa en vara, tjänst eller byggentreprenad av en leverantör.

Som vi tidigare nämnt finns det numera ett antal situationer där utomstående aktörer kan få del av säkerhetsskyddsklassificerade uppgifter eller i övrigt få tillgång till säkerhetskänslig verksamhet utan att det är fråga om en anskaffning. I takt med samhällsutveck-lingen kan nya sådana situationer uppstå. Det finns också fall där det visserligen är fråga om en anskaffning, men där behovet av säker-hetsskydd gäller för leverantörens säkersäker-hetsskyddsklassificerade upp-gifter eller i övrigt säkerhetskänsliga verksamhet. I sådana fall gäller det inte någon skyldighet för leverantören att kräva att beställaren undertecknar ett säkerhetsskyddsavtal där det anges hur beställaren ska tillgodose kravet på säkerhetsskydd. Slutligen finns det situa-tioner där det är osäkert om det gäller ett krav på säkerhetsskydds-avtal, i synnerhet vid anskaffningar mellan olika statliga myndigheter.

Om det inte ställs krav på säkerhetsskyddsavtal i alla relevanta situationer där säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet ska exponeras för utomstående, ökar sannolikheten för att motparten inte vidtar de säkerhetsskyddsåtgär-der som behövs. Detta gäller även om den utomstående parten också bedriver säkerhetskänslig verksamhet och därmed omfattas av säker-hetsskyddslagens bestämmelser. Avsaknad av säkerhetsskyddsavtal kan ytterst innebära sårbarheter och skador för Sveriges säkerhet.

Det sagda talar starkt för att skyldigheten att träffa ett säker-hetsskyddsavtal inte bör vara begränsad till offentlig upphandling och andra anskaffningar. Det bör framhållas i sammanhanget att regleringen om offentlig upphandling har helt andra syften än säker-hetsskyddsregleringen. Reglerna om offentlig upphandling, som delvis styrs av EU-direktiv, syftar bl.a. till att främja ett kostnads-effektivt användande av skattemedel genom att ta tillvara konkur-rensen på marknaden och att säkerställa att offentlig upphandling överensstämmer med principerna i fördraget om Europeiska unionens funktionssätt.⁵ Säkerhetsskyddslagstiftningen, som är en rent natio-nell reglering, är i stället ämnad att skydda Sveriges säkerhet från i första hand antagonistiska hot (prop. 2017/18:89 s. 1). Även dessa viktiga skillnader mellan säkerhetsskyddsregleringen och regleringen om offentlig upphandling talar för att det inte är ändamålsenligt att koppla kravet på säkerhetsskyddsavtal till just upphandling, även om

5 Europaparlamentets och rådets direktiv 2014/24/EU av den 26 februari 2014 om offentlig upphandling och om upphävande av direktiv 2004/18/EG.

upphandling naturligtvis är en situation där det vid behov bör gälla en skyldighet att träffa ett säkerhetsskyddsavtal.

I stället bör exponeringen av information eller verksamhet vara avgörande

Med hänsyn till det som anförts under föregående rubrik är vår bedömning att kravet på säkerhetsskyddsavtal inte bör begränsas till upphandling eller någon viss typ av avtal eller förfarande. För denna bedömning talar också risken för att en reglering som är inriktad på t.ex. en viss typ av förfarande eller avtal blir överspelad. I stället bör skyldigheten att ingå säkerhetsskyddsavtal knytas till sådana om-ständigheter som framhålls i direktiven, dvs. att en verksamhets-utövare som bedriver säkerhetskänslig verksamhet avser att ge någon utomstående tillgång till säkerhetsskyddsklassificerade uppgifter, eller i övrigt ge någon utomstående tillgång till säkerhetskänslig verksam-het.

Av det anförda följer att verksamhetsutövaren som utgångspunkt bör vara skyldig att ingå ett säkerhetsskyddsavtal oavsett om denne är leverantör eller beställare och oavsett vilken typ av avtal, sam-verkan eller samarbete det är fråga om. Reglerna bör alltså gälla såväl vid upphandling och ingående av avtal som vid andra former av samarbeten och samverkan.

Det sagda innebär att båda parter i ett avtal eller samarbete bör kunna vara skyldiga att i ett säkerhetsskyddsavtal ställa krav på säker-hetsskyddet hos den andre.

Exponering av säkerhetskänslig verksamhet på grund av författning

I föregående avsnitt har vi gjort bedömningen att skyldigheten att ingå säkerhetsskyddsavtal som utgångspunkt bör gälla såväl vid upp-handling och ingående av avtal som vid andra former av samarbeten och samverkan, förutsatt att verksamhetsutövaren – oavsett om denne är beställare eller leverantör – genom förfarandet ifråga expo-nerar säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhets-känslig verksamhet för någon utomstående.

En typ av förfarande som kan ta sig olika uttryck, och som därmed kan vara svårt att klassificera, är när verksamhetsutövare lämnar ifrån sig säkerhetsskyddsklassificerade uppgifter eller ger tillgång till i övrigt säkerhetskänslig verksamhet på grund av författ-ning. En sådan situation kan vara myndigheter som har till uppgift att samarbeta eller samverka med varandra, t.ex. genom utbyte av uppgifter. En myndighet kan exempelvis vara skyldig att låta utom-stående få tillgång till vissa register som myndigheten ansvarar för.

Ett annat exempel kan vara att myndigheter är skyldiga att utnyttja en viss tjänst, eller har rätt att begära att någon utför en viss tjänst, och att detta innebär att säkerhetsskyddsklassificerade uppgifter eller säkerhetskänslig verksamhet i övrigt exponeras för den som utför tjänsten. Vår uppfattning är att även sådana situationer som nu beskrivits utgör en form av avtal, samarbete eller samverkan, och att det kan finnas ett behov av att parterna kommer överens om vilket säkerhetsskydd som behövs. Den omständigheten att lagstiftaren gjort bedömningen att en viss samverkan ska äga rum betyder inte att frågan om vilket säkerhetsskydd som kan behövas har fått sin lösning eller ens har övervägts. Som utgångspunkt anser vi därför att skyldigheten att ingå säkerhetsskyddsavtal bör gälla även för avtal, samarbeten och samverkan som följer av författning. Vissa undantag är dock befogade, vilket vi utvecklar i avsnitt 5.4.4 och 5.4.6.

En situation som dock inte bör omfattas av begreppen avtal, samarbete eller samverkan är när en myndighet har makt att med tvång bereda sig tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet. Vi tänker då främst på åt-gärder som kan vidtas inom ramen för tillsyn eller brottsutredningar.

Det kan t.ex. handla om husrannsakan, beslag eller motsvarande åtgärder. Det rör sig då inte om något som språkligt kan betecknas som ett avtal, ett samarbete eller en samverkan. Redan därför framstår det som mindre naturligt att ställa krav på att det ska ingås ett säkerhetsskyddsavtal. Vidare framstår det som svårt att genom-föra praktiskt, särskilt i de fall där det krävs skyndsamhet eller där det är viktigt att den som åtgärden vidtas hos inte underrättas i förväg. Vi bedömer därför att övervägande skäl talar för att skyldig-heten att träffa säkerhetsskyddsavtal inte bör gälla i de angivna situa-tionerna. Detta behöver inte anges särskilt utan framgår av att det inte är fråga om avtal, samarbete eller samverkan.

Det bör inte krävas någon särskild varaktighet

Under vårt arbete har frågan aktualiserats om det bör krävas att en samverkan eller ett samarbete har någon viss varaktighet eller stabi-litet för att omfattas av skyldigheten att ingå ett säkerhetsskydds-avtal. Ett skäl för en sådan ordning är att det kan framstå som onödigt omständligt och kostnadsdrivande att ställa sådana krav vid mer lösliga och kortvariga former av samverkan eller samarbete. Vår bedömning är dock att en sådan begränsning av skyldigheten att ingå säkerhetsskyddsavtal inte bör införas. Om samverkan eller sam-arbetet är mycket kortvarigt eller lösligt får det förmodas att det många gånger inte heller medför att den utomstående parten får tillgång till verksamheten eller uppgifter i säkerhetsskyddsklassen konfidentiell eller högre. I så fall bör det, liksom vid upphandling i motsvarande fall, inte krävas ett säkerhetsskyddsavtal. Men om samverkan eller samarbetet innebär att sådana uppgifter eller i övrigt säkerhetskänslig verksamhet på motsvarande nivå exponeras för den utomstående parten, menar vi att behovet av säkerhetsskydd är lika stort som om det varit fråga om ett mer långvarigt och fast sam-arbete. Man kan t.o.m. hävda att behovet kan vara större, eftersom det i ett långvarigt samarbete kan finnas en högre grad av ömsesidig lojalitet och förståelse för den andra partens verksamhet och skydds-värden.

Inget krav på säkerhetsskyddsavtal i den lägsta säkerhetsskyddsklassen

Som nämnts i avsnitt 5.1 har vi inte övervägt om kravet på säker-hetsskyddsavtal bör gälla i fråga om uppgifter i säkerhetsskydds-klassen begränsad, eller om verksamhet av motsvarande betydelse för Sveriges säkerhet. Vi föreslår alltså inte några ändringar i detta avseende.

Sammanfattande bedömning

Sammanfattningsvis gör vi bedömningen att skyldigheten att kräva säkerhetsskyddsavtal som utgångspunkt bör gälla i alla fall där en verksamhetsutövare enligt säkerhetsskyddslagen avser att genomföra

en upphandling, ingå ett avtal eller inleda någon annan form av sam-verkan eller samarbete med en utomstående part, om förfarandet 1. innebär att den utomstående parten kan få tillgång till

säkerhets-skyddsklassificerade uppgifter i säkerhetsskyddsklassen konfiden-tiell eller högre, eller

2. i övrigt avser eller kan ge den utomstående parten tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

Det kan dock finnas skäl för vissa undantag i fall där kraven på säker-hetsskydd kan tillgodoses även utan ett säkersäker-hetsskyddsavtal. Vi diskuterar detta i avsnitten 5.4.4 och 5.4.6.

5.4.4 Samverkan och samarbeten mellan statliga