Snåriga säkerhetskrav styr upphandling

Säkerhetsskyddslagens bestämmelser gäller för alla som till någon del bedriver verksamhet som är av betydelse för Sveriges säkerhet. Det kan röra sig om allt från enskilda kommuner och regioner, till kommunala och statliga samt rent privata bolag.

Den som omfattas av reglerna inser snabbt att den inte kan fortsätta att upphandla på samma sätt som förut. I vissa fall kommer nämligen de upphandlingar som genomförs att omfattas av säkerhetsskyddslagen, och då ska en så kallad säkerhetsskyddad upphandling genomföras.

Men hur görs det då, och vilka luckor ska man undvika?

Ja, det svaret är långt ifrån givet. Att beröra alla de utmaningar och juridiska svårigheter som en upphandlande organisation ställs inför i samband med säkerhetsskyddade upphandlingar låter sig tyvärr inte göras i artikelform. Däremot finns det ett antal saker som en organisation kan göra på organisatorisk nivå för att vara mer robust och förberedd inför en säkerhetsskyddad upphandling.

För att en säkerhetsskyddad upphandling ska kunna genomföras på ett lagenligt sätt och på ett sätt som gör att det i slutänden blir en god affär för den upphandlande organisationen så krävs det enligt min mening (minst) tre saker. Jag kallar dem för de tre P-na:

• Planering
• Processer, policyer (och riktlinjer)
• Personal

Planering
Självklart bedriver alla upphandlande organisationer ett aktivt planeringsarbete, bland annat genom att hålla koll på vilka avtal som behöver upphandlas igen samt eventuellt nytillkomna behov som verksamheten har.

Genom de krav som säkerhetsskyddslagen ställer på en upphandlade organisation så behöver dock planeringen se delvis annorlunda ut. Innan upphandlingen kan genomföras är det nämligen ett antal lagstadgade moment som ska passeras, innan annonsen ens kan publiceras. Vilka de kraven är skiljer sig dessutom åt mellan varje upphandling.

Gemensamt för samtliga krav som säkerhetsskyddslagen ställer är däremot att de leder till att processen tar längre tid. Inom ramen för planeringen är det därför viktigt att ta höjd för de moment som tillkommer, och anpassa upphandlingsprocessen därefter.

Inom ramen för detta arbete är det också viktigt att förankra den förlängda tiden internt, för att skapa förståelse för att denna form av upphandlingar måste få ta längre tid än vad som är vanligt. 

Men hur vet man vilka krav som gäller för varje upphandling? Jo, det vet man först när man granskat varje säkerhetsskyddad upphandling i sak, och ser vad den innehåller.

Det leder oss vidare till behovet av processer, policyer och riktlinjer.

Processer, policyer och riktlinjer
För att kunna veta vilka krav som ställs vid varje enskild säkerhetsskyddad upphandling så finns ett behov av ett strukturerat internt arbete. Det ställer i sin tur krav på interna processer och riktlinjer som kan användas för att skapa en tydlig struktur i den interna processen med att genomföra denna särskilda typ av upphandlingar.

Om vissa obligatoriska moment hoppas över eller glöms bort måste nämligen upphandlingen pausas och i värsta fall göras om, för annars är risken att säkerhetsskyddslagen överträds. Det kan i värsta fall bli väldigt kostsamt.

Det finns därför ett behov av exempelvis ett utvecklat flödesschema, en digital tjänst, eller någon annan form av internt processtöd som hjälper organisationen att veta vad som ska göras när. Därmed ökar nämligen chanserna för att inget moment glöms bort.

Men vem är det då som ska göra alla de olika momenten? Jo, rätt personer inom organisationen, vilket slutligen leder oss till det sista P:et: Personalen.

Personalen
När det står klart för den upphandlande organisationen att en säkerhetsskyddad upphandling ska genomföras så bör ett samarbete omgående inledas med de säkerhetsskyddsansvariga personerna internt.

Det är nämligen i samarbetet mellan säkerhetsansvariga och upphandlarna som samtliga de moment som ska passeras kan hanteras på ett bra sätt. För det är rimligtvis den säkerhetsansvariga personalen som ska hantera de administrativa krav som säkerhetsskyddslagen ställer, som att anmäla avsikten att ingå ett säkerhetsskyddsavtal, medan upphandlarna fokuserar på upphandlingsaspekterna.

Därmed finns även behovet av att det i de interna processerna inte bara är tydligt vad som behöver göras i vilken situation, utan vem som är ansvarig för det.

Se även till att den personal som ska arbeta med dessa frågor får den utbildning som krävs, och ge de kompetenser som ska samarbeta möjligheterna att hitta formerna för det gemensamma samarbetet.

Ett sista ord
Sammanfattningsvis behöver en organisation som genomför säkerhetsskyddade upphandlingar vara rustad på flera olika sätt. Även om de krav som ställs av lagstiftningen kan kännas krångliga och svåra så kan det vara skönt att veta att de finns där för en bra sak – att öka Sveriges säkerhet. Det om något kan vara en tröst i dessa oroliga tider!

Viktor Robertson
Advokat och senior specialist
Advokatfirman Kahn Pedersen