Det har under sommaren stormat rejält i myndighetssverige kring IT-upphandlingar. Myndigheter verkar inte i tillräcklig mån ta hänsyn till säkerhetsskydd vid upphandling av IT-leverantörer. Något som inte diskuterats i samma utsträckning är hur en upphandling ska genomföras för att ta leva upp till säkerhetsskyddslagens (1996:627) krav. Hur upphandlar man med respekt för säkerhetsskyddet och hur ser man till att den egna organisationen lever upp till lagens krav?
Även om omständigheterna kring sommarens händelser är exceptionella vågar vi påstå att det inte är ovanligt att myndigheter eftersätter säkerhetsskyddsarbetet. Regelverket kan uppfattas som snårigt och bland de många krav som våra myndigheter har att uppfylla kan det hända att säkerhetsskyddet kommer i skymundan.
Inte bara myndigheter som förknippas med rikets säkerhet behöver ta ställning till säkerhetsskydd.
Sommarens händelser har tydliggjort att det inte bara är myndigheter som normalt förknippas med rikets säkerhet som behöver ta ställning till säkerhetsskydd. Säkerhetsskyddade uppgifter förekommer inte bara hos myndigheter som normalt förknippas med rikets säkerhet, utan de kan avse uppgifter om elförsörjning, infrastruktur, telekommunikation, radio och tv, socialförsäkring samt hälso- och sjukvård.
Idag regleras frågor om säkerhetsskydd i säkerhetsskyddslagen (1996:627) och säkerhetsskyddsförordningen (1996:633). Utöver detta får även Säkerhetspolisen och Försvarsmakten meddela föreskrifter. Området är föremål för ett lagändringsarbete, ett arbete som har pågått en längre tid. Propositionen förväntas presenteras i november 2017. Det ska också framhållas att det finns många andra aspekter, och lagar, som reglerar informationssäkerhet som inte behandlas i denna framställning.
Med säkerhetsskydd avses, enligt säkerhetsskyddslagen:
- skydd mot spioneri, sabotage och andra brott som kan hota rikets säkerhet,
- skydd i andra fall av uppgifter som omfattas av sekretess enligt offentlighets- och sekretesslagen och som rör rikets säkerhet (hemliga uppgifter), och
- skydd mot terroristbrott (terrorism), även om brotten inte hotar rikets säkerhet.
Det finns ingen legaldefinition av vad som avses med rikets säkerhet men något förenklat innefattar begreppet Sveriges yttre säkerhet (totalförsvaret) och Sveriges inre säkerhet (det demokratiska statsskicket).
Ett fungerande säkerhetsskydd ska förebygga:
- att uppgifter som omfattas av sekretess och som rör rikets säkerhet inte obehörigen röjs, ändras eller förstörs (informationssäkerhet),
- att obehöriga inte får tillträde till platser där de kan få tillgång till uppgifter som avses i 1 eller där verksamhet som har betydelse för rikets säkerhet bedrivs (tillträdesbegränsning), och
- att personer som inte är pålitliga från säkerhetssynpunkt inte deltar i verksamhet som har betydelse för rikets säkerhet (säkerhetsprövning).
Säkerhetsskyddet ska även i övrigt förebygga terrorism.
Informationssäkerhet
Hemliga uppgifter måste omgärdas av skydd oavsett i vilken form de återfinns. Arbetet med informationssäkerhet ska säkerställa uppgifternas konfidentialitet, tillgänglighet och riktighet. Här ska myndighetens IT-säkerhet särskilt beaktas och myndigheter har en obligatorisk plikt att rapportera IT-incidenter som skett i dess informationssystem.
Tillträdesbegränsning
Tillträdesbegränsning syftar till att enbart behöriga personer ska ha tillgång till platser där hemliga uppgifter finns eller där det bedrivs verksamhet som har betydelse för rikets säkerhet. Det kan säkerställas genom fysiska åtgärder som lås, passerkontroller och övervakningskameror. Enskildas rättigheter att röra sig fritt ska dock inte inskränkas mer än nödvändigt.
Säkerhetsprövning
Personer som arbetar med eller får del av uppgifter som är av betydelse för rikets säkerhet eller för skyddet mot terrorism, måste vara pålitliga från säkerhetssynpunkt. En myndighet som omfattas av säkerhetsskyddsbestämmelserna är inte endast skyldig att göra säkerhetsprövningar när de nyanställer eller anlitar nya leverantörer. Myndigheten är alltid skyldig att ha det säkerhetsskydd som verksamheten kräver. Det kan innebära att en verksamhet som tidigare inte har följt kraven på säkerhetsskydd, trots att den skulle ha gjort det, står inför en betydande uppgift, som kan inbegripa att säkerhetspröva befintlig personal. En säkerhetsprövning kan innebära inhämtande av referenser, registerkontroll och särskild personutredning.
Varje verksamhet måste avgöra om säkerhetsskyddslagstiftningen ska aktualiseras.
Säkerhetsskyddslagen gäller för staten, kommunerna och landstingen, men även för aktiebolag, handelsbolag, föreningar och stiftelser över vilka staten, kommuner eller landsting utövar ett rättsligt bestämmande inflytande. Säkerhetsskyddslagen gäller även för enskilda, men enbart om verksamheten är av betydelse för rikets säkerhet eller särskilt behöver skyddas mot terrorism. Det är upp till varje verksamhet att avgöra om det inom hela eller delar av verksamheten finns uppgifter eller förhållanden som innebär att säkerhetsskyddslagstiftningen aktualiseras.
Att inventera sitt säkerhetsskydd
Några grundläggande saker att tänka på som myndighet när det är dags att se över säkerhetsskyddet är följande.
Säkerhetsanalys
En av de första åtgärderna bör vara att inventera vilka skyddsintressen som är relevanta för myndigheten. Myndigheter är skyldiga att undersöka, och dokumentera resultatet i en säkerhetsanalys, vilka uppgifter som skall hållas hemliga och vilka anläggningar som kräver ett säkerhetsskydd med hänsyn till rikets säkerhet eller skyddet mot terrorism. Arbetet kan organiseras av myndighetens säkerhetsskyddschef, en roll som alla myndigheter som omfattas av säkerhetsskyddslagstiftningen är skyldiga att fylla, om det inte är uppenbart onödigt.
För att säkerhetsanalysen ska fylla sitt syfte är det lämpligt att upprätta en handlingsplan för hur identifierade brister ska lösas. Exempelvis följer det av säkerhetsskyddsförordningen att en tjänsteman som inte har tillräckliga kunskaper om säkerhetsskydd inte får ta del av hemliga uppgifter. De hemliga uppgifter som finns inom myndigheten måste vidare inventeras regelbundet.
Säkerhetsskyddad upphandling – och upphandling med krav på säkerhetsskydd
När stat, kommun eller landsting genomför en upphandling där det förekommer hemliga uppgifter ska ett skriftligt avtal, vilket definieras i lagen som ett säkerhetsskyddsavtal, träffas med anbudsgivare eller leverantörer. Avtalet ska reglera det säkerhetsskydd som behövs för den upphandlade verksamheten eller, i vissa fall, även för upphandlingen som sådan.
Säkerhetsskyddsavtal i säkerhetsskyddslagens mening kan endast ingås av stat, kommun eller landsting och alltså inte av övriga aktörer (däribland statliga och kommunala bolag) för vilka säkerhetsskyddslagen gäller. Även dessa övriga aktörer är skyldiga att ha ett fullgott säkerhetsskydd för sin verksamhet. Det kan innebära att även sådana myndigheter måste ingå avtal med snarlikt innehåll som ett säkerhetsskyddsavtal för att säkerställa att leverantörer lever upp till de krav som ställs för hantering av uppgifter, tillträdesbegränsning et cetera.
För exempelvis kommunala bolag kan det ibland vara klokt att i en upphandling ställa krav på att leverantören ska ingå ett säkerhetsskyddsavtal med kommunen.
Vilken nivå på säkerhetsskyddet som den enskilda myndigheten behöver ha är beroende på verksamhetens art och omfattning samt övriga omständigheter. Det är därför viktigt att före upphandlingen inventera verksamheten ur ett säkerhetsskyddsperspektiv.
Något generellt undantag från upphandlingsskyldighet för säkerhetsskyddade upphandlingar finns inte.
Enligt 3 kap. 5 § LOU (2016:1145) och 3 kap. 3 § LUF (2016:1146) gäller inte dessa lagar när upphandlingen och fullgörandet av kontraktet omfattas av sekretess eller rör Sveriges väsentliga intressen, om det skydd som behövs inte kan säkerställas vid en upphandling. Upphandling som omfattas av detta undantag kallas ibland för säkerhetsskyddad upphandling. En vanlig missuppfattning är att all säkerhetsskyddad upphandling omfattas av detta undantag. Ett säkerhetsskyddsavtal eller ett sekretessförbehåll är dock ofta tillräckligt för att det ska vara möjligt att upphandla enligt LOU eller LUF även om delar av innehållet i en upphandling omfattas av sekretess eller rör Sveriges väsentliga intressen. Något generellt undantag från upphandlingsskyldighet för sådana upphandlingar finns alltså inte.
Termen säkerhetsskyddad upphandling avser all upphandling som medför att säkerhetsskyddsavtal i säkerhetsskyddslagens mening måste tecknas. Om en sådan upphandling är undantagen från upphandlingsskyldighet eller inte får bedömas från fall till fall, utifrån om det är möjligt att säkerställa ett tillräckligt skydd i en annonserad upphandling.
Inledande arbete med att upphandla något som berörs av säkerhetsskydd
Eftersom aktörer som omfattas av säkerhetsskyddslagstiftningen är skyldiga att upprätthålla säkerhetsskyddet, men samtidigt måste respektera de grundläggande principerna för upphandling, bör en av de inledande åtgärderna från den upphandlande myndigheten vara att besvara frågan om säkerhetsskydd behöver beaktas vid upphandlingen.
Det är endast om det, under upphandlingen eller under utförandet av kontraktet, förekommer uppgifter som med hänsyn till rikets säkerhet omfattas av sekretess som säkerhetsskydd behöver beaktas. Avgörande för om säkerhetsskydd behöver beaktas i upphandlingen är således om leverantören kommer få tillgång till uppgifter, som med hänsyn till rikets säkerhet omfattas av sekretess, under upphandlingen eller under genomförandet av kontraktet. Om så inte är fallet men myndigheten ändå skulle ställa krav på ingående av säkerhetsskyddsavtal kan det vara ett oproportionerligt krav i upphandlingen.
Om myndigheten finner att det kommer att förekomma uppgifter som med hänsyn till rikets säkerhet ska omfattas av sekretess ska myndigheten gå vidare till frågan om när behovet av att säkerställa skyddet hos leverantören inträder. Myndigheten bör under alla omständigheter kravställa att ett ingånget avtal om säkerhetsskydd och sekretess är en förutsättning för att kunna teckna avtal om upphandlingsföremålet.
Det är vid upphandlingar som berörs av säkerhetsskydd särskilt viktigt för myndigheten att upprätta en väl tilltagen tidplan eftersom en säkerhetsprövning kan vara tidskrävande och innefatta registerkontroll av de personer som ska anlitas.
Om det inte är möjligt att beskriva och kravställa upphandlingen utan att använda sig av hemliga uppgifter måste myndigheten redan i detta skede ingå avtal om säkerhetsskydd och sekretess med potentiella anbudsgivare. Säkerhetsprövning av berörda personer hos leverantören bör i så fall också ske i detta tidiga skede. Om hemliga uppgifter inte förekommer under upphandlingen utan först vid leverans ska avtal om säkerhetsskydd och sekretess träffas med den vinnande leverantören senast i samband med att avtal tecknas om upphandlingsföremålet.
Sammanfattande kommentarer
Ovanstående genomgång är inte på något sätt uttömmande utan syftet är endast att lyfta några av de frågor som myndigheter har att ta ställning till på området för säkerhetsskydd. Jämte den reglering i säkerhetsskyddslagen som vi har behandlat ovan finns det dessutom även mycket annan reglering på området för informationssäkerhet som myndigheter har att ta ställning till såsom den reglering som framgår personuppgiftslagen, GDPR, offentlighets- och sekretesslagen et cetera.
Vi hoppas att de senaste månadernas nyhetsrapportering ska bära det goda med sig att det hjälper till att få upp dessa frågor på myndigheters dagordning och att det leder till en mer dynamisk diskussion kring informationssäkerhet i en föränderlig värld.
Erik Olsson och Johan Falk, advokat respektive biträdande jurist, Advokatfirman Kahn Pedersen
Hej, jag undrar om det finns någon utbildning för privata företag som iom den nya säkerhetsskyddslagen måste göra säkerhetsskyddade upphandlingar? eller iaf om det finns något råd eller rekommendation som man kan ge inköpsavdelningen?