Säkerhetsskyddad upphandling
Säkerhetsskyddade upphandlingar innebär bland annat att förebyggande åtgärder vidtas för att skydda Sverige mot brott som har betydelse för Sveriges säkerhet. På senare tid har säkerhetsskydd i olika sammanhang blivit omnämnt i massmedier och det finns anledning att anta att säkerhetsskydd i upphandlingar behöver beaktas i en större omfattning än vad som varit vanligt tidigare.
Innehåll på denna sida
Äldre information i stödet
Det här stödet om säkerhetsskyddad upphandling innehåller hänvisningar till äldre regler och håller därför på att ses över. Om du har frågor är du välkommen att kontakta oss via vår Frågeportal.
Bestämmelserna gäller vid upphandlingar enligt
- lagen om offentlig upphandling (LOU)
- lagen om upphandling inom försörjningssektorerna (LUF)
- lagen om upphandling av koncessioner (LUK)
- lagen om upphandling på försvars- och säkerhetsområdet (LUFS).
Säkerhetsskyddade upphandlingar är en konsekvens av principen att säkerhetsskyddet ska vara detsamma oavsett i vilken verksamhet som känsliga uppgifter förekommer eller var säkerhetskänslig verksamhet bedrivs. Bestämmelserna om säkerhetsskydd kan även utgöra ett viktigt verktyg för att främja konkurrensen i säkerhetsskyddade upphandlingar.
Om vårt stöd
På de här sidorna ger vi stöd med fokus på en teoretisk bakgrund till säkerhetsskyddade upphandlingar och ett praktiskt stöd i hur säkerhetsskyddade upphandlingar kan genomföras. Stödet behandlar även säkerhetsskyddslagstiftningen som sådan. Stödet riktar sig till alla som på olika sätt kommer i kontakt med säkerhetsskyddade upphandlingar. Det kan vara upphandlare, jurister, chefer, säkerhetsansvariga, leverantörer med flera.
Ytterligare stöd hos andra myndigheter
Det här stödet har fokus på upphandlingsperspektivet i säkerhetsskyddsarbetet. Säkerhetspolisen och Försvarsmakten har var för sig tagit fram stöd om säkerhetsskyddade upphandlingar som vi rekommenderar att du också tar del av. Du kan med fördel läsa det här stödet tillsammans med Säkerhetspolisens och Försvarsmaktens stöd.
Syftet med säkerhetsskyddad upphandling
I upphandlingssammanhang kan det behov som uppstår leda till frågan om behovet ska tillgodoses genom inköp eller genom att verksamhetsutövaren själv utför arbetet. Denna fråga kan också bli aktuell för verksamheter som omfattas av säkerhetsskydd. Den upphandlande myndigheten eller enheten (upphandlande organisationen) kanske resonerar att det blir för riskabelt eller för komplicerat att annonsera en säkerhetsskyddad upphandling.
Det är inte alltid så lätt att avgöra vad verksamhetsutövaren själv ska utföra och vad som bättre lämpar sig för utkontraktering. En utgångspunkt kan vara att eftersträva ökad effektivitet, minskade risker och god hushållning av resurser vid bedömningen om ett behov ska utkontrakteras. Om säkerhetsskydd blir aktuellt bör verksamhetsutövaren också göra en lämplighetsbedömning utifrån ett säkerhetsskyddsperspektiv.
Legaldefinition på utkontraktering saknas men i regel innebär det att lägga ut verksamheten på en annan aktör. Det kan då röra sig om en tjänst, process eller verksamhet. Det kan också röra sig om drift, underhåll och skötsel av delar av verksamheten. I det här sammanhanget bör man ha i åtanke att utkontraktering och upphandling inte är synonyma. Inköp av exempelvis pennor innebär inte att verksamheten läggs ut på en annan aktör och utgör därmed inte utkontraktering. Däremot kan inköp av konsulter som tillhandahåller olika typer av verksamhetsnära tjänster innebära att utkontraktering sker i fall där dessa tjänster annars skulle ha utförts av verksamhetsutövaren själv.
I dagens moderna samhälle finns det inte många stater som på egen hand kan leverera alla de varor och tjänster som behövs för att täcka den egna statens behov. Detta kan särskilt aktualiseras på säkerhetsskyddsområdet, i synnerhet för behov som kräver teknisk spetskompetens eller internationell förankring.
Möjliga fördelar med utkontraktering kan bland annat vara
- kostnadsbesparingar
- förutsägbarhet
- innovation och förnyelse
- tillgång till expertkompetens
- flexibilitet och skalbarhet.
Det kan också finnas nackdelar med utkontraktering såsom
- kontrollen över den säkerhetskänsliga verksamheten minskar
- dolda kostnader
- inlåsningseffekter
- svårigheter att skriva kompletta avtal
- avvikelser från avtal
- kostnader för uppföljning
- försämrad servicekvalitet
- förlust av kompetens.
Ibland kan det finnas skäl till att anställa egen personal som utför arbetet i stället för att utkontraktera behovet genom en säkerhetsskyddad upphandling. Anställs egen personal för att täcka behovet blir upphandlingslagstiftningen inte längre aktuell och behöver därför inte beaktas av den upphandlande organisationen. Om den upphandlande organisationen anställer egen personal är dock säkerhetsskyddslagstiftningen fortfarande tillämplig i den del som avser anställningar.
Säkerhetsskyddade upphandlingar leder inte bara till att skydda de intressen som säkerhetsskyddslagstiftningen slår vakt om. Säkerhetsskyddade upphandlingar öppnar också upp för konkurrens. Att dessa upphandlingar genomförs i konkurrens medför att anbudsgivare kan tävla på lika villkor om dessa avtal och att den upphandlande organisationen därmed får mer fördelaktiga anbud än vad som annars hade varit fallet.
Säkerhetsskyddade upphandlingar kan innebära att kostnaderna för inköp ökar. Dels blir fler personer involverade i inköpsarbetet, dels innebär de tillkommande säkerhetsskyddskraven att leverantörer eventuellt tvingas ta ut högre priser för sina varor och tjänster. Säkerhetsskyddade upphandlingar kan också leda till att färre leverantörer vill eller kan lämna anbud.
Ökade kostnader i samband med skyddet av Sveriges säkerhet är dock oundvikligt och måste accepteras. Däremot skulle onödiga kostnadsökningar kunna begränsas genom att den upphandlande organisationen ställer proportionerliga säkerhetsskyddskrav i sina upphandlingar. Det skulle sannolikt också främja konkurrensen eftersom fler leverantörer kan antas uppfylla de uppsatta säkerhetsskyddskraven.
Vilka omfattas av säkerhetsskyddslagstiftningen?
Säkerhetsskyddslagen gäller för den som till någon del bedriver verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd. Denna verksamhet benämns också som säkerhetskänslig verksamhet i säkerhetsskyddslagstiftningen. Med ”till någon del” har lagstiftaren tydliggjort att det inte krävs att hela verksamheten utgörs av säkerhetskänslig verksamhet för att säkerhetsskyddslagen ska bli tillämplig.
I säkerhetsskyddslagstiftningen används begreppet verksamhetsutövare för alla aktörer, inklusive enskilda verksamhetsutövare, som omfattas av säkerhetsskyddslagstiftningens bestämmelser. Det finns dock bestämmelser som endast blir tillämpliga på vissa aktörer. Dessa anges då specifikt i säkerhetsskyddslagstiftningen.
Exempel på aktörer som anges specifikt i säkerhetsskyddslagstiftningen är:
- statliga myndigheter
- kommuner och regioner (tidigare landsting)
- enskilda verksamhetsutövare.
Det finns en skyldighet för statliga myndigheter, kommuner och regioner (tidigare landsting) att ingå säkerhetsskyddsavtal när de avser att genomföra en upphandling och ingå avtal om varor, tjänster eller byggentreprenader som aktualiserar säkerhetsskydd.
För enskilda verksamhetsutövare uppstår skyldigheten att ingå säkerhetsskyddsavtal när de ingår avtal om varor, tjänster och byggentreprenader som aktualiserar säkerhetsskydd med utomstående leverantörer. Detta borde inte hindra att enskilda verksamhetsutövare som omfattas av upphandlingslagstiftningen ingår säkerhetsskyddsavtal i samband med ett upphandlingsförfarande.
För enskilda verksamhetsutövare gäller kravet på säkerhetsskyddsavtal oavsett om villkoren i ett affärsavtal har uttryckts skriftligen eller inte. I detta avseende kan det exempelvis bli aktuellt med säkerhetsskyddsavtal för affärstransaktioner mellan två bolag inom samma koncern.
Enligt den gamla säkerhetsskyddslagstiftningen fanns det begränsade möjligheter att ställa krav på säkerhetsskydd i enskilda verksamheter. En förklaring till det är att Offentlighets- och sekretesslagen (OSL) främst aktualiseras för myndigheter och andra offentliga organ. Eftersom en stor del av den offentliga verksamheten bedrivs i enskild regi omfattas enskilda näringsutövare i en större utsträckning av den nu gällande säkerhetsskyddslagstiftningen.
Jämfört med den gamla säkerhetsskyddslagstiftningen används inte uppdelningen av företagsformen där det allmänna har ett rättsligt bestämmande inflytande respektive företagsformen där ett sådant inflytande saknas i lika hög utsträckning i den nu gällande säkerhetsskyddslagstiftningen.
I säkerhetsskyddslagstiftningen uttrycks båda dessa företagsformer som enskilda verksamhetsutövare eller inkluderas i det bredare begreppet ”verksamhetsutövare” som också inbegriper statliga myndigheter, kommuner och regioner (tidigare landsting). Begreppet verksamhetsutövare innefattar alltså alla aktörer som omfattas av säkerhetsskyddslagstiftningen.
Vad innebär säkerhetsskydd?
Med säkerhetsskydd avses skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter. I dessa sammanhang används ibland också begreppet ”SUA”. SUA är dock inte en officiell benämning på säkerhetsskyddade upphandlingar. SUA tycks ha fått innebörden säkerhetsskyddad upphandling med säkerhetsskyddsavtal.
De säkerhetsskyddsåtgärder som vidtas ska enligt säkerhetsskyddslagen beakta följande moment: informationssäkerhet, fysisk säkerhet och personalsäkerhet.
Informationssäkerhet ska förebygga
- att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs, och
- skadlig inverkan i övrigt på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet.
Fysisk säkerhet ska förebygga
- att obehöriga får tillträde till områden, byggnader och andra anläggningar eller objekt där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller där säkerhetskänslig verksamhet i övrigt bedrivs, och
- skadlig inverkan på sådana områden, byggnader, anläggningar eller objekt som avses i punkt 1.
Personalsäkerhet ska
- förebygga att personer som inte är pålitliga från säkerhetssynpunkt deltar i en verksamhet där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller i en verksamhet som av någon annan anledning är säkerhetskänslig, och
- säkerställa att de som deltar i säkerhetskänslig verksamhet har tillräcklig kunskap om säkerhetsskydd.
Verksamhetsutövaren har ansvar för säkerhetsskyddet i sin verksamhet och det ansvaret kan aldrig flyttas ut genom utkontraktering. Som exempel kan nämnas IT-tjänster som i stigande grad utkontrakteras och koncentreras till ett fåtal bolag. Det ger leverantörer tillgång till en stor mängd information vilket kan öka behovet av säkerhetsskydd i upphandlingar av IT-tjänster.
Vilka uppgifter ska skyddas enligt säkerhetsskyddslagstiftningen?
Sekretessbestämmelser om vilka uppgifter som ska skyddas framgår av Offentlighets- och sekretesslagen (OSL). OSL reglerar däremot inte hur uppgifter som omfattas av sekretess med hänsyn till rikets (Sveriges) säkerhet ska hanteras och skyddas. Detta regleras i stället av säkerhetsskyddslagstiftningen.
I den gamla säkerhetsskyddslagstiftningen benämndes de uppgifter som var skyddsvärda med hänsyn till rikets säkerhet på lite olika sätt men hade samma innebörd. Med hemlig uppgift avsågs enligt den gamla säkerhetsskyddsförordningen en uppgift som omfattades av sekretess enligt OSL och som rörde rikets säkerhet. I den gamla säkerhetsskyddslagen förekom inte begreppet hemlig uppgift. Begreppets identiska innebörd kom dock till uttryck i den gamla säkerhetsskyddslagen när den lagen tolkades mot bakgrund av den gamla säkerhetsskyddsförordningens bestämmelser.
Begreppet hemlig uppgift används inte längre i säkerhetsskyddslagstiftningen. I stället är det säkerhetsskyddsklassificerade uppgifter som ska skyddas enligt den nya lagstiftningen.
Med säkerhetsskyddsklassificerade uppgifter avses uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt OSL eller som skulle ha omfattats av sekretess enligt OSL om OSL hade varit tillämplig. Det senare tar framförallt sikte på enskilda verksamhetsutövare. Enskilda verksamhetsutövare behöver därför göra en fiktiv sekretessbedömning för att kunna säkerhetsskyddsklassificera uppgifter trots att OSL inte är tillämplig på dessa aktörer. Säkerhetsskyddslagstiftningen har alltså anpassats för det faktum att OSL normalt sett inte är tillämplig på enskilda verksamhetsutövare.
Enligt säkerhetsskyddslagen kan säkerhetsskyddsklassificerade uppgifter delas in i fyra säkerhetsskyddsklasser. Indelningen i säkerhetsskyddsklasser ska göras beroende på vilken skada som röjandet av uppgifterna kan medföra på Sveriges säkerhet.
Säkerhetsskyddsklasserna delas in enligt följande:
- kvalificerat hemlig vid en synnerligen allvarlig skada,
- hemlig vid en allvarlig skada,
- konfidentiell vid en inte obetydlig skada, eller
- begränsat hemlig vid endast ringa skada.
Säkerhetsskyddsklassificeringen får även betydelse för tillämpningen av andra bestämmelser i säkerhetshetsskyddslagstiftningen. Bland annat påverkar säkerhetsskyddsklassificeringen vilken säkerhetsklass som personal ska få.
Alla delar i en verksamhet som har betydelse för Sveriges säkerhet kan omfattas av säkerhetsskyddslagstiftningen. Utöver skydd för säkerhetsskyddsklassificerade uppgifter kan det exempelvis bli aktuellt att skydda personal, fastigheter och andra anläggningar. Det beror inte i första hand på att dessa tillhandahåller eller innehåller säkerhetsskyddsklassificerade uppgifter, utan för att de är vitala för förmågan att upprätthålla kritiska samhällsfunktioner som exempelvis Sveriges demokratiska statsskick, rättsväsende eller brottsbekämpande förmåga med mera.
Vilka utövar tillsyn?
Bestämmelserna om tillsynsmyndigheternas ansvarsområden har justerats och preciserats i säkerhetsskyddsförordningen. Enligt säkerhetsskyddsförordningen utövas tillsynen på säkerhetsskyddsområdet av:
- Försvarsmakten när det gäller Fortifikationsverket och Försvarshögskolan samt de myndigheter som hör till Försvarsdepartementet.
- Säkerhetspolisen när det gäller övriga myndigheter, utom Justitiekanslern, samt kommuner och regioner (tidigare landsting).
- Affärsverket svenska kraftnät när det gäller enskilda verksamhetsutövare som bedriver elförsörjningsverksamhet.
- Transportstyrelsen när det gäller enskilda verksamhetsutövare som bedriver flygtrafiktjänst för civil luftfart, flygtrafikledningstjänst för militär luftfart och verksamhet som i övrigt är av betydelse för luftfartsskydd, hamnskydd och sjöfartsskydd.
- Post- och telestyrelsen när det gäller enskilda verksamhetsutövare som bedriver verksamhet som avser elektronisk kommunikation och posttjänst.
- Länsstyrelserna när det gäller enskilda verksamhetsutövare som bedriver andra säkerhetskänsliga verksamheter än sådana som anges i 3–5.
Säkerhetspolisen och Försvarsmakten får dessutom utöva tillsyn på ansvarsområden som ansvaras av andra tillsynsmyndigheter.
Det är verksamhetsutövaren som bär det yttersta ansvaret för säkerhetsskyddet. Utövandet av tillsyn innebär inte att verksamhetsutövaren fråntas ansvaret för säkerhetsskyddet.
Källhänvisningar
- Riksrevisionens granskningar, RiR 2011:4
- Granskning av Transportstyrelsens upphandling av it-drift, DS 2018:6
- Säkerhetsskyddslagen (2018:585)
- Ett modernt och stärkt skydd för Sveriges säkerhet – ny säkerhetsskyddslag, prop. 2017/18:89
- Säkerhetspolisen, 10 tips för säkrare outsourcing
- Offentlighets- och sekretesslagen (2009:400)
- Gamla säkerhetsskyddslagen (1996:627)
- Gamla säkerhetsskyddsförordning (1996:633)
- Säkerhetsskyddsförordningen (2018:658)
Dokumentversion av webbstödet
För dig som eventuellt har behov av tydligare källhänvisningar har vi tagit fram en dokumentversion av webbstödet med fotnoter.