Säkerhetsskyddsavtal
Ett säkerhetsskyddsavtal ska säkerställa säkerhetsskyddet och att samma skydd uppnås hos leverantören som hos den upphandlande organisationen. Här kan du läsa om vad säkerhetsskyddsavtal innebär och när din organisation måste ingå ett sådant.
Innehåll på denna sida
- I vilka fall krävs ett säkerhetsskyddsavtal?
- Vid vilken tidpunkt ska säkerhetsskyddsavtal ingås?
- Kravet på säkerhetsavtal gäller även gentemot underleverantörer
- Vad brukar säkerhetsskyddsavtalen innehålla?
- Olika nivåer på säkerhetsskyddsavtal
- Situationer där det inte krävs säkerhetsskyddsavtal
- Länkar för fördjupning
- Källhänvisningar
I vilka fall krävs ett säkerhetsskyddsavtal?
Säkerhetsskyddslagstiftningen blir inte direkt tillämplig på en leverantörs egen verksamhet enbart av den anledningen att leverantören ingår avtal med och därigenom får tillgång till en verksamhetsutövares säkerhetskänsliga verksamhet. Det kan dock finnas situationer där en leverantör genom sitt samlade engagemang hos olika upphandlande organisationer anses i sig bedriva säkerhetskänslig verksamhet. Säkerhetsskyddslagstiftningen kan i sådana fall bli direkt tillämplig på leverantörens egen verksamhet. Det innebär dock inte att leverantören omfattas av säkerhetsskyddslagen i förhållande till den upphandlande organisationens säkerhetskänsliga verksamhet. Säkerhetsskyddslagstiftningen utgår från att respektive verksamhetsutövare är ansvarig för sin egen säkerhetskänsliga verksamhet.
I syfte att säkerställa säkerhetsskyddet och att samma skydd uppnås hos leverantören som hos den upphandlande organisationen behöver den upphandlande organisationen ålägga denne att vidta erforderliga säkerhetsskyddsåtgärder. Dessa krav på hur säkerhetsskyddet ska tillgodoses av leverantören anges i ett säkerhetsskyddsavtal. Säkerhetsskyddsavtalet innebär att en leverantör på avtalsrättslig väg förbinder sig att vidta vissa säkerhetsskyddsåtgärder.
Kravet på att ingå säkerhetsskyddsavtal gäller i de fall en upphandlande organisation avser att genomföra en upphandling, om leverantören genom upphandlingen kan få tillgång till
1. säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller
2. annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet
Säkerhetsskyddsklassificerade uppgifter och säkerhetsskyddsklasser
Andra punkten avser situationer som inte berör säkerhetsskyddsklassificerade uppgifter men som ger tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. I förarbetena till säkerhetsskyddslagen tas informationssystem och andra elektroniska kommunikationslösningar upp som exempel. Det kan dock även avse anläggningar, objekt, system, egendom och andra tillgångar som är av betydelse för Sveriges säkerhet.
Kravet på att ingå säkerhetsskyddsavtal gäller all typ av upphandling, även direktupphandling och sådan upphandling som är undantagen från tillämpningsområdet för upphandlingslagarna.
Vid vilken tidpunkt ska säkerhetsskyddsavtal ingås?
Ett säkerhetsskyddsavtal ska ingås innan leverantören kan få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Den tidpunkten kan inträffa i olika delar av inköpsprocessen, till exempel inför anbudsgivningen eller efter tilldelningen av kontrakt. Om leverantörer redan genom att delta i upphandlingen och innan de lämnar anbud får tillgång till säkerhetsskyddsklassificerade uppgifter eller säkerhetskänslig verksamhet kan de alltså behöva ingå säkerhetsskyddsavtal redan under själva upphandlingsprocessen.
Se mer information om detta i avsnitten Välj upphandlingsform och Välj upphandlingsförfarande på sidan Förbered upphandlingen.
Kravet på säkerhetsavtal gäller även gentemot underleverantörer
Den upphandlande organisationen är även skyldig att ingå säkerhetsskyddsavtal med en underleverantör som anlitas för att fullgöra förpliktelse mot den upphandlande organisationen. Kravet gäller oavsett om det är en underleverantör som leverantören anlitar eller en underleverantör i senare led. Men det gäller endast om underleverantören genom sitt uppdrag kan få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.
Vad brukar säkerhetsskyddsavtalen innehålla?
Säkerhetsskyddsavtal kan bland annat reglera följande:
- säkerhetsskyddsorganisation
- förekomst av säkerhetsskyddsinstruktion
- informationssäkerhet
- behörighet
- fysisk säkerhet
- personalsäkerhet inklusive utbildning
- marknadsföring och offentliggörande
- fördelning av kostnaderna för säkerhetsskyddet
- sekretess och tystnadsplikt
- äganderättsförhållanden
- avtalsperiod
Säkerhetsskyddsavtalet ska även ange hur verksamhetsutövaren får kontrollera att leverantören följer säkerhetsskyddsavtalet. Det ska även klargöra att verksamhetsutövaren har rätt att revidera avtalet om det krävs på grund av ändrade förhållanden.
Vanligtvis är det inte möjligt att detaljerat beskriva skyddsbehovets innehåll i säkerhetsskyddsavtalet. Detta med tanke på att uppgifter man vill skydda då skulle röjas. Däremot kan ni beskriva det yttre ramverk som ska gälla för säkerhetsskyddsavtalet på ett tydligt sätt utan att röja säkerhetsskyddsklassificerade uppgifter.
Olika nivåer på säkerhetsskyddsavtal
Säkerhetsskyddsavtalen delas in i tre olika nivåer, nivå 1–3. Nivåindelningen nämns inte i säkerhetsskyddslagstiftningen, utan regleras i Säkerhetspolisens föreskrifter. Nivåerna för säkerhetsskyddsavtal har tagits fram av Säkerhetspolisen och Försvarsmakten i syfte att säkerhetsskyddsavtalets innehåll ska vara anpassat till skyddsbehovet.
Ni i den upphandlande organisationen bestämmer nivå på avtalet utifrån flera faktorer. Generellt innebär de olika nivåerna på säkerhetsskyddsavtal följande:
Leverantören kommer att utanför den upphandlande organisationens områden, byggnader och andra anläggningar eller objekt
- få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller
- få tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.
Särskilda krav vid nivå 1
Nivå 1 innebär att den upphandlande organisationen behöver göra följande:
- Innan ni ingår säkerhetsskyddsavtalet, på plats inspektera leverantörens säkerhetsskydd beträffande aktuella lokaler eller utrymmen (så kallat förstagångsbesök).
- När ni ingått säkerhetsskyddsavtalet, säkerställ att leverantören i en säkerhetsskyddsinstruktion dokumenterar hur de uppfyller kravet på säkerhetsskydd enligt avtalet. Den upphandlande organisationen ska godkänna säkerhetsskyddsinstruktionen.
- Kontrollera regelbundet på plats leverantörens säkerhetsskydd beträffande aktuella lokaler eller utrymmen.
Leverantören kommer att inom den upphandlande organisationens områden, byggnader och andra anläggningar eller objekt
- få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller
- få tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.
Leverantören kan komma att inom den upphandlande organisationens områden, byggnader och andra anläggningar eller objekt
- få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiellt eller högre, eller
- få tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.
Håll isär olika typer av nivåindelning
Nivåindelning används i flera sammanhang inom området säkerhetsskydd och ska hållas isär:
- Säkerhetsskyddsavtalet kan finnas i tre olika nivåer.
- Placering av anställningar eller andra deltaganden i säkerhetsklasser sker också på en 3-gradig skala.
- Uppgifter som ska skyddas placeras i säkerhetsskyddsklasser enligt en 4-gradig skala.
Mer om skillnaderna mellan och innebörden av dessa begrepp finns på följande sidor:
Situationer där det inte krävs säkerhetsskyddsavtal
Det finns ett flertal undantag från skyldigheten att ingå säkerhetsskyddsavtal i säkerhetsskyddslagstiftningen, bland annat undantag för olika förfaranden som endast avser samverkan eller samarbete mellan statliga myndigheter. Övriga undantag avser förfaranden som på olika sätt rör krigsmateriel och försvars- och underrättelseområdet och förfaranden mellan statliga myndigheter och annan stat eller en mellanfolklig organisation.
Krav på säkerhetsskyddsavtal omfattar inte heller till exempel en upphandlande organisation som avser att genomföra en upphandling som rör säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen begränsad hemlig eller säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Den upphandlande organisationen är dock skyldig att i dessa fall se till att säkerhetsskyddet gentemot leverantör (och eventuell underleverantör) regleras på något annat sätt än genom säkerhetsskyddsavtal. Bland annat kan det finnas anledning att ingå någon annan form av överenskommelse, vilket ofta kommit att kallas för säkerhetsskyddsöverenskommelse.
Säkerhetspolisens information om säkerhetsskyddsöverenskommelse
Länkar för fördjupning
- 4 kap. 1 § och 3 § Säkerhetsskyddslagen (2018:585)
- 2 kap. 3 § Säkerhetspolisens föreskrifter om säkerhetsskydd (PMFS 2022:1)
- Ett starkare skydd för Sveriges säkerhet, prop. 2020/21:194, sid. 129
- Prop. 2020/21:194, sid. 29
- Ett modernt och stärkt skydd för Sveriges säkerhet, prop. 2017/18:89, sid. 1414 kap. 1 §, 2 stycket, Säkerhetsskyddslagen
- Prop. 2020/21:194, sid. 33–34
- 4 kap. 5 § Säkerhetsskyddslagen
- 7 kap. 2, 4 och 7 §§ och 7 kap. 8 § 2 stycket PMFS 2022:1
- Säkerhetspolisens mallar för säkerhetsskyddsavtal [länka till hemsida https://sakerhetspolisen.se/verksamheten/sakerhetsskydd/blanketter-och-mallar.html]
- 5 kap. 8–10 §§ Säkerhetsskyddsförordningen (2021:955)
- 4 kap. 2 § Säkerhetsskyddslagen och 6 kap. 1 § Säkerhetsskyddsförordningen
- 7 kap. 11 § PMFS 2022:1