Start

Informationssäkerhet vid upphandling

Informationssäkerhet handlar om att vidta åtgärder för att skydda olika typer av information. De skyddsåtgärder som vidtas ska bland annat förhindra att information läcker ut, förvanskas eller förstörs.

Anledningen till att information ska skyddas vid upphandling kan skilja sig åt. Olika regelverk aktualiseras beroende på vilken typ av information som ska skyddas och varför informationen ska skyddas. Nedan hittar du information om några av dessa regelverk. 

Information med betydelse för Sveriges säkerhet 

Om en upphandling genomförs av någon som bedriver en verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd ska bland annat säkerhetsskyddslagstiftningen beaktas. Säkerhetsskyddslagstiftningen är tillämplig både på privata och offentliga aktörer.  

Läs mer om informationssäkerhet enligt säkerhetsskyddslagstiftningen: 

Samhällsviktiga och digitala tjänster 

Om informationssäkerhetsåtgärder ska vidtas för att skydda känslig information som rör samhällsviktiga och digitala tjänster, men inte är av betydelse för Sveriges säkerhet, kan det bli aktuellt att beakta NIS-direktivet och den svenska nationella lagstiftning som omsätter NIS-direktivets bestämmelser. Dessa bestämmelser blir endast aktuella om det inte rör sig om säkerhetskänslig verksamhet enligt säkerhetsskyddslagstiftningen.  

Reglerna omfattar offentliga och privata leverantörer av samhällsviktiga tjänster och vissa digitala tjänster.  

Läs mer om informationssäkerhet enligt NIS-direktivet: 

Skydd av personuppgifter – GDPR 

Om personuppgifter ska behandlas blir dataskyddsförordningen (GDPR) tillämplig. I dataskyddsförordningen finns regler som privata och offentliga aktörer behöver känna till för att säkerställa att de behandlar sina personuppgifter på ett korrekt sätt.   

Kravställning vid upphandling av data

DIGG har tillsammans med bland annat Upphandlingsmyndigheten tagit fram särskilda rekommendationer för upphandling av data. Rekommendationerna kan användas i upphandlingar eller inköp som på något sätt omfattar data. Det kan handla om data som redan finns i verksamheten, data som ska produceras på uppdrag av den upphandlande organisationen eller data som köps in. De bidrar till att kostnadseffektivt kunna använda, hantera och tillgängliggöra data och minskar risker för inlåsning av data och bristande informationssäkerhet.

Rekommendationer för upphandling av data (digg.se)