När något svårt blir värre

De tar inte bara mer tid, de innehåller även en rad olika krav på hur förfarandet ska utformas och genomföras. Krav som inte går att hitta i upphandlingslagarna, utan som är en följd av säkerhetsskyddslagen.

Sedan två år tillbaka är verksamhetsutövare skyldiga att gå igenom ett antal lagreglerade steg, innan en säkerhetsskyddad upphandling ens kan annonseras. Två av dessa är att genomföra en säkerhetsskyddsbedömning och en lämplighetsprövning.

I korthet kan det sägas att verksamhetsutövaren inom ramen för säkerhetsskyddsbedömningen ska kartlägga alla de säkerhetskänsliga aspekter av den egna verksamheten som den eller de utomstående leverantörerna kommer att komma i kontakt med när ramavtalet eller kontraktet fullgörs.

När denna kartläggning har gjorts så ska verksamhetsutövaren därefter på egen hand pröva om det är lämpligt att genomföra den aktuella upphandlingen. Inget konstigt med det, kanske.

Enligt Säpos tillgängliga vägledning löses denna situation lämpligast genom att upphandlingen trots allt påbörjas. Säkerhetsskyddsbedömningen och lämplighetsprövningen börjar genom att prövningen av de interna komponenterna sker, varpå lämplighetsprövningen vid ett senare tillfälle kompletteras och vid behov revideras när leverantören väl är känd och prövningen av de externa komponenterna faktiskt kan ske.

Säpos inställning är en pragmatisk sådan, och troligtvis det enda sätt att lösa just denna situation inom ramen för säkerhetsskyddade upphandlingar. Det faktum att en lämplighetsprövning ska kompletteras vid ett senare skede innebär dock att den upphandlande myndigheten måste ta höjd för detta redan i sitt underlag.

Lämpligast sker nämligen denna prövning i samband med att kvalificeringen, anbudskontrollen och utvärderingen har skett, och det är klart vilken eller vilka leverantörer som bör tilldelas ramavtal eller kontrakt. På så sätt minskar den krets av leverantörer som måste prövas till så få som möjligt.

Det bör däremot ske innan tilldelningsbeslutet väl meddelas. Syftet med det är att inom ramen för tilldelningsbeslutet kunna beakta resultatet av den aktuella lämplighetsprövningen och minska risken för att samma beslut behöver rivas upp om lämplighetsprövningen ger ett negativt utslag.

Detta innebär dock att den upphandlande myndigheten måste ange i underlaget att det är en förutsättning att leverantörerna kan komma in med sådan information som krävs för att myndigheten ska kunna genomföra den aktuella lämplighetsprövningen.

På motsvarande sätt måste myndigheten ange att enbart sådana leverantörer som är lämpliga att ingå säkerhetsskyddsavtal kan tilldelas ramavtal eller kontrakt.

Båda dessa förutsättningar formuleras lämpligast som ska-krav, i syfte att göra det möjligt  för myndigheterna att förkasta leverantörer som inte lämnar in nödvändig information och som inte ”klarar” lämplighetsprövningen.

Eftersom även eventuella underleverantörers deltagande ska beaktas i lämplighetsprövningen, i den utsträckning även de ska få ta del av den säkerhetskänsliga verksamheten, så bör motsvarande krav även ställas i förhållande till dessa.

Att hantera alla dessa tillkommande krav är svårt, men inte omöjligt. Det kräver dock som sagt mer handpåläggning inom ramen för underlagen än normalt.

Eftersom vi aldrig verkar sluta gå mot mörkare säkerhetsmässiga tider bör alla upphandlande myndigheter som genomför säkerhetsskyddade upphandlingar omedelbart säkerställa att de har båda de interna rutinerna och skrivningarna i sina underlag för att kunna hantera dessa situationer. Om inte så kommer svåra problem att uppstå, när upphandlingarna väl genomförs.

Summa summarum räddade Säpos eleganta lösning oss ur en annars omöjlig situation, även om det inte innebar att allt arbete försvann. Bra så, men visst hade det varit toppen om inte lagen hade lagt krokben redan från början?

Viktor Robertson
Advokatfirman Kahn Pedersen