Inledningsvis Inledningsvis beskriver jag kort vad som avses med säkerhetsskydd och säkerhetsskyddsklassificerade uppgifter.
Säkerhetsskydd och säkerhetsskyddsklassificerade uppgifter
Med säkerhetsskydd avses:
- skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten;
- skydd av säkerhetsskyddsklassificerade uppgifter.
Säkerhetsskyddsklassificerade uppgifter är uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen, OSL, (2009:400) eller uppgifter som skulle ha omfattats av sekretess enligt den lagen om den hade varit tillämplig.
Exempel på säkerhetsskyddsklassificerade uppgifter är sådana uppgifter som är eller skulle ha varit sekretessbelagda enligt 15 kap. 2 § OSL (försvarssekretess), men även andra sekretessbestämmelser i OSL kan vara tillämpliga på uppgifter som rör säkerhetskänslig verksamhet.
Nya krav på uppföljning och på innehållet i säkerhetsskyddsavtal
I lagrådsremissen föreslås att kravet på att ingå ett säkerhetsskyddsavtal ska gälla i alla situationer där säkerhetskänslig verksamhet exponeras, inte bara vid upphandlingar och andra anskaffningar. För utkontraktering innebär detta alltså ingen nyhet.
Vidare anges krav på att verksamhetsutövaren ska kontrollera att motparten följer säkerhetsskyddsavtalet, något som också i huvudsak redan gäller sedan tidigare. Däremot är kravet på att verksamhetsutövaren ska revidera avtalet om det krävs på grund av ändrade förhållanden nytt.
Om motparten inte följer säkerhetsskyddsavtalet ska verksamhetsutövaren vidta de åtgärder som behövs för att tillgodose kraven på säkerhetsskydd.
I vissa fall kan det räcka med att verksamhetsutövaren påpekar bristerna och begär att motparten åtgärdar dessa. I andra fall kan det krävas att verksamhetsutövaren avbryter det förfarande som ger motparten tillgång till den säkerhetskänsliga verksamheten.
Det införs även krav på en tydligare reglering av vad ett säkerhetsskyddsavtal ska innehålla. Ett säkerhetsskyddsavtal ska innehålla de krav på motparten som behövs för att kraven på säkerhetsskydd ska kunna tillgodoses, vilket redan följer av gällande lagstiftning.
Dessutom ska avtalet reglera hur verksamhetsutövaren ska få kontrollera att motparten följer säkerhetsskyddsavtalet och att verksamhetsutövaren har rätt att revidera avtalet om det krävs på grund av ändrade förhållanden.
Krav på särskild säkerhetsskyddsbedömning och egen lämplighetsprövning
Statliga myndigheter som tänker genomföra en upphandling som innebär krav på säkerhetsskyddsavtal är i dag i vissa fall skyldiga att göra en särskild säkerhetsskyddsbedömning. I denna bedömning ska myndigheten identifiera vilka säkerhetsskyddsklassificerade uppgifter eller säkerhetskänsliga informationssystem som den andra aktören kan få tillgång till genom förfarandet och som kräver säkerhetsskydd.
Regeringen föreslår att skyldigheten att göra en särskild säkerhetsskyddsbedömning ska utvidgas. Lagtekniskt görs det genom att kravet kopplas till kravet på att ingå ett säkerhetsskyddsavtal.
Det innebär att alla upphandlingar omfattas av kravet på en särskild säkerhetsskyddsbedömning om den andra aktören genom förfarandet kan få tillgång till
- säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller
- annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.
Även andra förfaranden än upphandlingar, som till exempel avtal om samverkan där säkerhetskänslig verksamhet exponeras, kan komma att omfattas av kravet på särskild säkerhetsskyddsbedömning på grund av kopplingen till kravet på att ingå ett säkerhetsskyddsavtal.
Tillämpat på utkontraktering innebär förslaget att myndigheten före upphandlingen ska identifiera vilka säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som leverantören kan få tillgång till och som kräver säkerhetsskydd.
Om säkerhetsskyddsklassificerade uppgifter exponeras redan under upphandlingsprocessen behöver myndigheten inkludera även detta moment i den särskilda säkerhetsskyddsbedömningen och lämplighetsprövningen.
Med utgångspunkt i den särskilda säkerhetsskyddsbedömningen och övriga omständigheter ska myndigheten även göra en lämplighetsprövning från säkerhetsskyddssynpunkt. Syftet med lämplighetsprövningen är att klarlägga om den aktuella utkontrakteringen kan leda till skadekonsekvenser på nationell nivå och utmynna i en bedömning av om förfarandet är lämpligt ur ett säkerhetsskyddsperspektiv.
Enligt regeringen förekommer det att verksamhetsutövare inte gör någon analys av om en utkontraktering är lämplig från säkerhetsskyddssynpunkt. Det förekommer även att analysen som utförs är bristfällig.
Det är enligt regeringen av yttersta vikt att fördelarna med utkontraktering ställs mot de risker för Sveriges säkerhet som förfarandet kan innebära. I vissa fall kan riskerna, enligt regeringens bedömning, hanteras genom ett väl formulerat säkerhetsskyddsavtal.
I andra fall kan riskerna inte ens genom ett optimalt säkerhetsskyddsavtal motverkas. I dessa fall är utkontraktering inte lämpligt från säkerhetsskyddssynpunkt och bör därför inte genomföras.
Den särskilda säkerhetsskyddsbedömningen och lämplighetsprövningen ska dokumenteras.
Krav på samråd i vissa fall
Om lämplighetsprövningen leder till bedömningen att det planerade förfarandet inte är olämpligt från säkerhetsskyddssynpunkt ska myndigheten samråda med tillsynsmyndigheten, om det planerade förfarandet innebär att den andra aktören kan få tillgång till
- säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre, eller 2. annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.
Regeringen anmärker att det är viktigt att myndigheter och andra verksamhetsutövare inte endast fokuserar på det enskilda moment som kräver samråd utan att den ser det planerade förfarandet i dess helhet.
Även om leverantören skulle få tillgång till säkerhetsskyddsklassificerade uppgifter först efter att den offentliga upphandlingen har genomförts, finns det i regel anledning att inleda samrådet innan upphandlingen har påbörjats. Detta eftersom myndigheten kan drabbas av stora negativa konsekvenser om det under samrådet visar sig att till exempel ytterligare säkerhetsskyddsåtgärder är nödvändiga som gör att myndigheten måste ställa nya krav på leverantören och frångå det tidigare förfrågningsunderlaget.
Handlingar som behöver ges in till tillsynsmyndigheten är dokumentationen av den särskilda säkerhetsskyddsbedömningen och lämplighetsprövningen samt eventuellt utkast till säkerhetsskyddsavtal. Även upphandlingsdokument med bilagor bör ges in.
Utgångspunkten är att samrådet ska ha avslutats innan det planerade förfarandet inleds. Det innebär bland annat att en offentlig upphandling som utgångspunkt får påbörjas först när samrådet har genomförts och under förutsättning att tillsynsmyndigheten inte har fattat beslut om förbud.
Förbud i vissa fall
Regeringen föreslår även att tillsynsmyndigheten ska få förelägga verksamhetsutövare att vidta åtgärder enligt säkerhetsskyddslagen. Om ett beslut om föreläggande inte följs eller om tillsynsmyndigheten bedömer att det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt ska tillsynsmyndigheten få förbjuda den planerade utkontrakteringen.
Åtgärder mot pågående utkontraktering
För närvarande saknas effektiva möjligheter att ingripa mot en utkontraktering som bedöms olämplig. Förslaget innebär att det ska vara möjligt att ingripa mot en pågående utkontraktering eller annat förfarande som omfattas av ett krav på säkerhetsskyddsavtal om förfarandet är olämpligt från säkerhetsskyddssynpunkt.
I ett sådant fall föreslås att tillsynsmyndigheten får besluta om de förelägganden mot verksamhetsutövaren och den andra aktören i förfarandet som behövs för att förhindra skada för Sveriges säkerhet. Ett sådant beslut om föreläggande får förenas med vite.
Bestämmelsen tillämpas endast på förfaranden – till exempel upphandlingar som avser utkontraktering – som inleds efter lagändringarna. Den påverkar alltså inte upphandlingar som inletts före ikraftträdandet.
Sanktioner
Vid överträdelse av vissa krav – bland annat med avseende på säkerhetsskyddsavtal och samrådsskyldigheten – föreslår regeringen att en sanktionsavgift ska kunna utgå. Sanktionsavgiften föreslås bli lägst 25 000 kronor och högst 50 miljoner kronor. Sanktionsavgiften för en statlig myndighet, kommun eller region ska dock inte bestämmas till ett högre belopp än 10 miljoner kronor.
Avslutande kommentarer
Förslaget innebär flera nyheter när det gäller utkontraktering av till exempel it-tjänster. Det ställs större krav på myndigheten på uppföljning av säkerhetsskyddsavtalet och på innehållet i säkerhetsskyddsavtalet.
Vidare innebär förslaget att myndigheten före en upphandling måste analysera om en särskild säkerhetsskyddsbedömning och lämplighetsprövning ska göras och säkerställa att tidsåtgången för detta och ett samråd med tillsynsmyndigheten inryms i tidsplanen.
Möjligheten för tillsynsmyndigheten att ingripa mot pågående utkontraktering bör uppmärksammas i avtalet om utkontraktering på lämpligt sätt.
En avslutande reflektion är att storleken på sanktionsavgifterna ligger i linje med lagstiftningsinitiativ på senare tid, som till exempel GDPR.
Jag återkommer till dessa ändringar i säkerhetsskyddslagen längre fram.
Peter Nordbeck
Advokat, Advokatfirman Delphi
Kommentatorerna ansvarar för sina egna kommentarer