Avtalsuppföljningen är den upphandlande myndighetens externa process för att få full nytta av ett upphandlat avtal. Det handlar om åtgärder som myndigheten vidtar mot och tillsammans med leverantören för att säkerställa att leverantörens prestation sker i enlighet med avtalets krav och villkor.

I avtalsförvaltningen kan ingå att genomföra kontroll vid leveranser, kontroll av fakturor (mot både leveransen och avtalets villkor), besiktning, revision, inspektion och besök hos leverantören, begära självdeklarationer eller liknande från leverantören och dess underleverantörer, eller att inhämta information från offentliga källor.

Avtalsuppföljningen skiljer sig därmed från avtalsförvaltningen, som är den upphandlande myndighetens interna process för att säkerställa nyttan med det upphandlade avtalet. I avtalsförvaltningen ingår exempelvis att överföra information och kunskaper från upphandlingen till avtalets användare (beställarna) om hur avtalet ska användas, vad som ingår och inte ingår, eventuella åtaganden gentemot leverantören och grundläggande faktorer som avtalstid, förlängningsfrister och optioner.

Både avtalsuppföljningen och avtalsförvaltningen är viktiga, men när det gäller frågor om informationssäkerhet med koppling till upphandlade avtal är vår erfarenhet att fokus bör läggas på avtalsuppföljningen, och att det är vanligt med bristande uppföljning av informationssäkerheten.

Det gäller inte sällan it-avtal, men också andra typer av avtal där leverantören får del av känslig information – såsom personuppgifter, säkerhetsskyddsklassificerade uppgifter eller uppgifter som av annan anledning omfattas av sekretess – eller tillgång till eller insyn i myndighetens verksamhet, lokaler med mera.

Varför avtalsuppföljning?
Ett avtal som tydligt beskriver parternas åtaganden, och som innehåller välavvägda sanktioner om åtagandena inte uppfylls, är en förutsättning för en god och dessutom informationssäker affär.  

Men ett bra avtal hjälper inte, om inte avtalets tillämpning följs upp och om sanktionerna inte används när det finns skäl för det.

Om ingen uppföljning sker finns det inga garantier för att det som kravställts, upphandlats och avtalats är det som faktiskt levereras, eller att det sker på det sätt och med de informationssäkerhetsåtgärder som avtalats.

Den upphandlande myndighet som ställt krav på att leverantören ska hantera känslig information på visst sätt, för att informationen inte ska röjas för obehöriga, förvanskas, förstöras eller bli otillgänglig för myndigheten, kan helt enkelt inte veta om informationen hanteras på ett säkert sätt om ingen avtalsuppföljning sker.

Det kan exempelvis handla om att en myndighet som ställt krav på att data inte får hanteras på visst sätt, måste kontrollera och verifiera att det också blir så, och inte bara lita på vad leverantören säger.

Ett annat exempel är att kontrollera att leverantören följer de krav som finns i ett eventuellt personuppgiftsbiträdesavtal.

Gäller det en upphandling som omfattas av säkerhetsskyddslagen, där myndigheten är skyldig att ingå ett säkerhetsskyddsavtal med leverantören för att skydda säkerhetskänslig verksamhet och säkerhetsskyddsklassificerade uppgifter, har myndigheten dessutom en uttrycklig skyldighet att kontrollera att leverantören följer säkerhetsskyddsavtalet.

Om myndigheten inte gör någon uppföljning av detta innebär det alltså ett brott mot säkerhetsskyddslagen.

Att inte tillämpa avtalade sanktioner kan också vara en otillåten väsentlig ändring av avtalet, i strid med LOU, alltså en otillåten direktupphandling.

Den upphandlande myndighet som inte följer upp sina avtal riskerar också att på längre sikt få problem med oseriösa leverantörer, som räknar med att inte behöva hålla vad som lovats i anbuden eller som lämnar oseriösa priser i samband med upphandlingar.

Vad krävs för effektiv avtalsuppföljning?
En effektiv avtalsuppföljning förutsätter till att börja med att det finns resurser för uppföljning hos den upphandlande myndigheten. Det behövs med andra ord medarbetare som har både tillräcklig kompetens och tillräckligt med tid för avtalsuppföljning. Det krävs också att dessa medarbetares ansvar för avtalsuppföljningen tydliggörs, även för övriga medarbetare på myndigheten.

När det gäller uppföljning av informationssäkerhetsaspekter av upphandlande avtal bör arbetet också ske i samråd med myndighetens säkerhetschef, som normalt också är myndighetens säkerhetsskyddschef, det vill säga den som kontrollerar att verksamheten bedrivs i enlighet med säkerhetsskyddslagen. Om det gäller behandling av personuppgifter måste också myndighetens dataskyddsombud involveras.

Utöver resurser krävs även att avtalet innehåller lämpliga och konkreta krav på hur informationssäkerhet ska uppnås, både när det gäller produkten eller tjänsterna och leverantörens arbetssätt, exempelvis vad gäller kontinuerligt arbete med att uppdatera och förbättra system som används, alltså livscykelhantering utifrån ett informationssäkerhetsperspektiv.

Dessutom behövs det relevanta mekanismer för avtalsuppföljningen. Vilka mekanismer som bör användas varierar beroende på avtalstyp och omfattning, men när det gäller informationssäkerhet kan det exempelvis vara fråga om återkommande besök eller inspektioner hos leverantören, funktionella tester utifrån olika användarfall, och så kallade angripartester (penetrationstester) i använda system.

I många fall finns också behov av att kunna tillämpa motsvarande mekanismer för leverantörens underleverantörer, ibland i flera led, samt att kunna få inflytande över eventuella byten av underleverantörer eller ägarförändringar bland leverantörerna.

Men vår erfarenhet är att det ofta inte bara är avtalsinnehållet som begränsar upphandlande myndigheters avtalsuppföljning. I stället är det ofta snarare bristen på resurser, eller kompetensbrist, som hindrar myndigheter från att följa upp att leverantörer lever upp till sina åtaganden om att hantera information på ett säkert sätt.

När det gäller en leverantörs hantering av myndighetens information inom ramen för ett it-avtal kan det exempelvis ofta vara tekniskt komplicerat för myndigheten att bedöma om leverantören använder tillräckliga tekniska skyddsåtgärder och rutiner för att förhindra intrång eller dataförlust.

Det ligger ju i sakens natur att myndigheter oftast anlitar leverantörer för att göra sådant som myndigheten inte själv har kompetens att göra. Men det innebär inte att myndigheten kan avstå från att följa upp avtalet även i dessa delar, även om det kan innebära att myndigheten kan behöva anlita extern expertis för att genomföra uppföljningen.

Ibland märker vi också att finns en ovilja hos vissa myndigheter att granska eller ifrågasätta leverantörer, eller att vidta åtgärder mot leverantörer som inte uppfyllt sina skyldigheter. Inte sällan hänvisar myndigheten till att det skulle kunna uppfattas som onödigt aggressivt eller skulle störa den fortsatta relationen med leverantören.

Det anser vi är en ohållbar inställning för en myndighet som tar sitt informationssäkerhetsarbete på allvar. Att följa upp en leverantörs arbete och hantering av myndighetens information, och agera mot leverantören om det finns brister, bör betraktas som helt normalt. Det är till och med nödvändigt för att tidigt motverka en bestående bristfällig prestation under resten av avtalstiden.

Dokumentera avtalsuppföljningen
I större eller mer betydelsefulla avtal, om exempelvis komplexa it-tjänster eller andra verksamhetskritiska leveranser, är det nästan oundvikligt att diskussioner om avtalet uppstår.

Det som avgör utgången av en sådan diskussion är ofta vilken av parterna som under avtalstiden bäst dokumenterat löpande kontakter och diskussioner. Det är därför viktigt att den upphandlande myndigheten inrättar rutiner för att dokumentera alla kontakter med leverantören.

Detta innebär exempelvis att skriftliga mötesprotokoll alltid ska användas, men också att muntliga uppgörelser eller överenskommelser bör undvikas. I stället bör allt sådant dokumenteras skriftligen. Gäller det komplicerade frågor kan det också vara bra att låta extern teknisk expertis upprätta dokumentationen av tester och andra vidtagna uppföljningsåtgärder. Det kan höja dokumentationens bevisvärde i en eventuell tvist.

Det som skiljer dokumentation om uppföljning av informationssäkerhet från annan avtalsuppföljning är att korrespondens mellan parterna, mötesprotokoll och liknande som rör informationssäkerhet ofta i sig är sådan känslig information som behöver skyddas mot röjande eller annan obehörig påverkan. Detta eftersom information om hur leverantören ska agera för att skydda myndighetens information, eller om att leverantören brustit i sitt skydd av myndighetens information, annars kan användas av antagonistiska aktörer.

Stor förbättringspotential
Även om mycket har blivit bättre sedan Upphandlingsutredningen 2010 konstaterade att ”i tre av fyra fall, verkar ingen uppföljning av kontrakten göras alls” (SOU 2013:12, s. 155), är vår erfarenhet att avtalsuppföljningen rent generellt ofta prioriteras alltför lågt i offentlig sektor.

När det gäller informationssäkerhetsaspekten finns det alltför många exempel på att myndigheter inte haft kontroll över hur deras leverantörer hanterat känslig information. Lägg till också att hotbilden mot svenska myndigheters informationssäkerhet har ökat, både från statliga och icke-statliga antagonistiska aktörer.

Det finns därför, enligt vår mening, en stor förbättringspotential för upphandlande myndigheter att lägga ökat fokus på arbetet med att utforma mer ändamålsenliga avtal och mer aktivt följa upp dessa avtal, för att uppnå bättre informationssäkerhet även vid anlitande av externa leverantörer.

Kristian Pedersen
Advokat, Partner
André Catry
Senior Adviser

Advokatfirman Kahn Pedersen