Säpo förnyar råd om säkerhetsskydd

I över 1,5 år har vi väntat på att Säkerhetspolisen ska uppdatera sina vägledningar om säkerhetsskydd. Anledningen till väntan är de omfattande ändringar som skedde på hela lagstiftningsområdet den 1 december 2021, då både Säkerhetsskyddslagen, säkerhetskyddsförordningen och sedermera Säkerhetspolisens egna föreskrifter ändrades.

Inte minst innebar ändringarna att säkerhetsskyddade upphandlingar omfattades av ännu fler administrativa krav och juridiska vägskäl än tidigare. Behovet av vägledning var därför också stort.

Redan förra hösten skulle de nya vägledningarna ha kommit, men de sköts hela tiden upp. Nu har de däremot äntligen kommit, och uppdaterade råd och stöd finns numer att tillgå.

Vad innehåller vägledningen då? Jo, både gammalt och nytt samt delar som uppdaterats och vidareutvecklats.

Upphandlingsprocessen inte i fokus
Till att börja med kan det konstateras att vägledningen fått en ny titel. Den som letar efter information om säkerhetsskyddade upphandlingar ska numera läsa vägledningen om ”Skyldigheter vid exponering av säkerhetskänslig verksamhet”.

Anledningen till den nya titeln är att skyldigheten att bland annat ingå säkerhetsskyddsavtal fick ett mycket större tillämpningsområde den 1 december 2021. Vägledningen omfattar därför numer även andra situationer som kräver säkerhetsskyddsavtal, bland annat inköp som sker utan upphandling och rena samarbeten och samverkan.

Det är därmed inte längre upphandlingsprocessen som står i fokus, utan de generella förutsättningarna för att aktörer utanför verksamhetsutövarens organisation ska få tillgång till säkerhetskänslig verksamhet.

En annan nyhet i vägledningen är att skyldigheten att ingå säkerhetsskyddsöverenskommelser förklaras och vidareutvecklas. Men vad är en säkerhetsskyddsöverenskommelse, och vad skiljer den från ett säkerhetsskyddsavtal?

I tidigare vägledningar har säkerhetsskyddsöverenskommelse beskrivits som ett säkerhetsskyddsavtal som ingåtts i de fall när det inte funnits en lagstadgad skyldighet att ingå ett säkerhetsskyddsavtal, eftersom motparten endast får tillgång till uppgifter i säkerhetsskyddsklassen begränsat hemlig eller säkerhetskänslig verksamhet av motsvarande betydelse för Sverige säkerhet.

Vägledningen förtydligar nu att det finns många likheter mellan säkerhetsskyddsavtal och säkerhetsskyddsöverenskommelser, och att säkerhetsskyddsöverenskommelser ska innehålla sådana bestämmelser som behövs för att motsvara säkerhetsskyddslagens krav. Exakt vad som menas med det är däremot fortfarande oklart.

Vägledningens olika flödesscheman har även de fräschats upp, och täcker numera en större aspekt av säkerhetsskyddade upphandlingar. Den som vill få en inblick i hur en process kring en säkerhetsskyddad upphandling kan se ut gör därför rätt i att särskilt läsa in sig på bilder och flödesscheman.

Utgå från Säpos mallar
I vägledningen nämns även Säkerhetspolisens mallar för säkerhetsskyddsavtal, och vid flera olika tillfällen betonas vikten av att arbeta vidare med dessa utifrån verksamhetens egna behov. Som verksamhetsutövare bör man därför utgå från Säkerhetspolisens mallar, men säkerställa att de vidareutvecklas i olika aspekter. Detta är särskilt viktigt i nuläget när de mallar som finns tillgängliga inte har uppdaterats för den ändrade lagstiftningen och bland annat hänvisar till upphävda författningar.

Utöver detta behandlar vägledningen inte heller förutsättningar för ett balanserat kommersiellt säkerhetsskyddsavtal, exempelvis vad gäller frågor om kostnadsfördelning vid ändringar av avtalen. För är det egentligen rimligt att leverantören ska stå alla kostnader när avtalet ändras (vilket är utgångspunkten i Säkerhetspolisens mall för säkerhetsskyddsavtal) även när ändringen helt beror på verksamheten som sådan?

Utan en helhetsförståelse för såväl de säkerhetsskyddsmässiga som de kommersiella förutsättningarna av ett säkerhetsskyddsavtal riskerar säkerhetsskyddad upphandling leda till att riskerna inte är förutsägbara för leverantören, vilket i sin tur leder till dyrare upphandlingar när leverantören måste prisa in denna risk i anbuden.

Men är det inte också något som skaver med vägledningen, och då särskilt i förhållande till upphandlingsfrågor? I vägledningen anges det, helt korrekt, att både upphandlingslagarna och säkerhetsskyddslagen gäller parallellt med varandra. Men varför känns det då som att Säkerhetspolisen inte riktigt har full insikt i hur upphandlingar fungerar?

Det finns flera exempel men ett av dem som kanske sticker ut är när Säkerhetspolisen skriver följande, kring kravet på samråd: I vissa fall kan ett [upphandlings]förfarande behöva inledas innan samrådet är avslutat. Så kan vara fallet om det inför en upphandling inte är känt vem den andra aktören i förfarandet kommer att bli.

För vad innebär upphandlingsreglerna om inte ett hinder mot att på förhand ”veta” vem som ska få affären? Visst finns det undantagssituationer där det ibland är möjligt att approchera en utvald leverantör, men det rör sig om just undantag som bekräftar den absoluta huvudregeln: att det är oklart vem som ska få kontraktet innan upphandlingen är genomförd. Det rör sig med andra ord knappast om ”vissa situationer”, utan om majoriteten av situationer.

Tyvärr slutar det inte där. Exempelvis utgår Säkerhetspolisen från att avtalsmotparten är känd på förhand inom ramen för den lämplighetsprövning som numer ska ske inför att en upphandling ens genomförs. Hur en sådan lämplighetsbedömning ska ske i majoriteten av upphandlingssituationer, när avtalsmotparten inte är känd på förhand, sägs det däremot inte mycket om.

Det är med andra ord mycket välkommet att Säkerhetspolisen vägleder på detta svåra område, men nog hade det kanske kunnat önskas lite mer insikt i förhållande till upphandlingsfrågorna. Kanske vågar vi hoppas på att de snart uppdaterar vägledningen i dessa aspekter. Ska vi säga inom 1,5 år?

Viktor Robertson
advokat och senior specialist vid advokatfirman Kahn Pedersen