Javascript är inte påslaget i din webbläsare. Vi rekommenderar att javacsript är aktiverat i webbläsaren, för bästa användning av webbplatsen.
Sök på polisen.se

Säkerhetsskyddad upphandling

En säkerhetsskyddad upphandling med säkerhetsskyddsavtal, en så kallad SUA, görs vid upphandlingar som omges av säkerhetsskydd. Det kan till exempel vara då ett företag ska ta del av hemliga uppgifter.

Ett säkerhetsskyddsavtal innebär att leverantören genomför åtgärder så att uppgifter som omfattas av sekretess med hänsyn till rikets säkerhet hanteras på ett säkert sätt.

En leverantör som tecknat ett säkerhetsskyddsavtal är alltid skyldig att se till att eventuella underleverantörer tecknar säkerhetsskyddsavtal. Ett sådant avtal ska träffas mellan polismyndigheten och underleverantören, aldrig mellan huvudleverantören och underleverantören.

Tre olika nivåer av säkerhetsskyddsavtal

Det finns tre nivåer av säkerhetsskyddsavtal, beroende på i hur stor utsträckning leverantören kommer att hantera hemliga uppgifter.

  1. Leverantören kommer att hantera och förvara hemliga uppgifter i sina egna lokaler.
  2. Leverantören kommer att hantera och förvara hemliga uppgifter enbart i godkänd lokal, som anvisas av beställande myndighet.L
  3. Leverantören kan komma att få del av hemliga uppgifter.

Polisen gör företagsbesök

Vid tecknande av säkerhetsskyddsavtal på nivå 1 gör Polismyndigheten alltid ett besök på företaget för att säkerställa att säkerhetsskyddet uppfyller kraven.

Säkerhetsprövning

Säkerhetsprövningen består av två delar: registerkontroll och en del som rör den personliga kännedomen (företaget). För att kunna göra en registerkontroll på den personal som ska arbeta i uppdraget krävs att ett säkerhetsskyddsavtal finns.

Registerkontroll och samtycke

Samtliga som ingår i uppdraget fylla i blanketten "Framställan om registerkontroll". Blanketten fylls alltid i av vd eller av firmatecknare som en ledningskontroll, och av säkerhetsskyddschef om det finns samt av dem som ingår i uppdraget. Blanketten skickas till Polismyndigheten. Det underlättar att ha vägledningen öppen samtidigt som du fyller i blanketten.

För säkerhetsklass 1 och 2 ska även blanketten "Särskild personutredning för säkerhetsklass 1 och 2" fyllas i och skickas till Polismyndigheten.

Alla som ingår i uppdraget behöver också fylla i blanketten sekretessbevis och samtycke till registerkontroll och PuL. Blanketten skickas ifylld till Polismyndigheten.

Sekretess och tystnadsplikt

Alla som ingår i uppdraget ska också ta del av sekretessinformation och information om tystnadsplikt.

Säkerhetsskyddsinstruktion

När säkerhetsskyddsavtal nivå 1 har träffats ska företaget upprätta en säkerhetsskyddsinstruktion. Det betyder att företaget ska reglera sitt säkerhetsskydd kring den kommande hanteringen av hemliga uppgifter.

I instruktionen redovisar företaget vilka åtgärder som ska genomföras mot eventuella hot och risker. Säkerhetsskyddsinstruktionen och förändringar i den ska godkännas av den beställande myndigheten.

Dokument

Frågor och svar om säkerhetsskyddsavtal

Kan vi berätta att vårt företag har ett säkerhetsskyddsavtal i marknadsföring?

Nej, säkerhetsskyddsavtal får i sig aldrig användas som argument vid marknadsföring. Ett företag får heller inte tala om att man har ett sådant avtal med Polismyndigheten.

Vad är SUA-avtal?

Det finns inget som heter "SUA-avtal". Det korrekta begreppet är säkerhetsskyddsavtal. SUA betyder säkerhetsskyddad upphandling med säkerhetsskyddsavtal.

Om vi redan har säkerhetsskyddsavtal med en eller flera andra myndigheter är vi väl redan godkända för att arbeta med hemlig uppgift även åt Polismyndigheten?

Nej. Varje myndighet ska teckna säkerhetsskyddsavtal med en leverantör om uppdraget så kräver. Det går inte att använda ett säkerhetsskyddsavtal tecknat med en myndighet för arbete åt en annan myndighet.

Vi planerar att flytta till nya lokaler och vi har ett säkerhetsskyddsavtal i Nivå 1. Vad gäller?

Ingen hemlig uppgift får flyttas till eller hanteras i de nya lokalerna innan dessa byggts om och godkänts av Polismyndigheten. Det är en process som kan ta mycket lång tid, byggnadstiden inräknad. Var därför ute i mycket god tid.

Vi har redan flyttat till nya lokaler och tog med oss de hemliga handlingarna. De gamla lokalerna var godkända i Nivå 1, men inte de nya. Vad gäller?

Företaget har därmed hävt säkerhetsskyddsavtalet och är inte längre behöriga att förvara eller hantera hemliga uppgifter i sina lokaler. Alla hemliga uppgifter måste omedelbart lämnas tillbaka till Polismyndigheten. Alla inplaceringar i säkerhetsklass (registerkontroller) kommer att sägas upp och er personal får inte längre delges hemlig uppgift. Säkerhetschefen ska omedelbart kontakta Polismyndigheten.

Hur lång tid tar det att teckna ett säkerhetsskyddsavtal?

Det beror på vilken nivå det är på avtalet och hur omfattande det är. Ett säkerhetsskyddsavtal på nivå 2 eller 3 behöver ofta inte ta längre tid än 1 till 2 veckor för Polismyndigheten. Det gäller bara själva avtalets tecknande, alltså godkännandet av företaget. Till detta kommer registerkontroll på den personal som skall arbeta i uppdraget, något som kan ta 2 till 4 veckor beroende på vilken säkerhetsklass personen ska inplaceras i samt Säkerhetspolisens handläggningstid. Polismyndigheten garanterar inte att ett avtal eller en registerkontroll kan färdigställas inom en viss tid, utan allt beror på omständigheterna.

Vi ingår i en koncern där ett av bolagen har ett säkerhetsskyddsavtal. Kan vi utnyttja det avtalet?

Nej. Avtalen tecknas mellan Polismyndigheten som företrädare för staten och en viss juridisk person. Även om företagen ingår i samma koncern är de alltså i säkerhetsskyddslagens mening helt skilda juridiska personer. Det gäller även om Polismyndigheten har säkerhetsskyddsavtal med moderbolaget.

Vi ingår i en koncern där ett av bolagen har säkerhetsskyddsavtal i Nivå 1. Vi sitter i samma byggnad. Måste vi ha skilda lokaler och eget fysiskt skydd?

Ja, företagen är olika juridiska personer och måste alltså, om avtal ska tecknas på nivå 1, ha helt skilda lokaler, larmanläggningar och befattningshavare med mera.

Vi behöver använda en underleverantör i vårt uppdrag. Hur gör vi för att anlita dem för arbete där hemlig uppgift förekommer?

Säkerhetschefen eller kontaktpersonen vid det anlitande bolaget kontaktar Polismyndigheten som tecknar säkerhetsskyddsavtal med underleverantören.

Vi ska byta företagsnamn, men ha kvar samma organisationsnummer. Hur gör vi?

När det nya bolagsnamnet registrerats hos Bolagsverket ska ni skicka ett nytt registreringsbevis (ej äldre än tre månader) där det nya företagsnamnet framgår till Polismyndigheten.

Vi har bytt vd. Hur gör vi?

När vd:s namn registrerats hos Bolagsverket ska ni skicka in ett nytt registreringsbevis (ej äldre än tre månader) där det nya namnet framgår samt vd:s samtycke till registerkontroll till Polismyndigheten.

Ni ska även genomföra en säkerhetsprövningsintervju med den nye vd:n och se till att han eller hon skriver på sekretessbevis. När det är klart ska ni beställa en registerkontroll av den nya vd:n och avanmäla den tidigare vd:n.

Hur länge gäller ett säkerhetsskyddsavtal?

Avtalet gäller så länge företaget har uppdrag där säkerhetsskyddsavtal med Polismyndigheten krävs. Du är skyldig att anmäla till Polismyndigheten då ett uppdrag har upphört.

Vi har fått ett brev från Polismyndigheten där det står att vi ska se över aktuella inplaceringar i säkerhetsklass. Inga förändringar har skett. Behöver jag bekräfta detta till Polismyndigheten?

Ja. All kommunikation från Polismyndigheten ska alltid besvaras.

Vi har fått ett brev från Polismyndigheten där det står att vi ska se över aktuella underleverantörer till oss. Det saknas en underleverantör på listan. Varför då?

Antingen har företaget inte anmält att man anlitar underleverantören, eller så har det underlag som tidigare skickats in upphört att gälla. Kontakta Polismyndigheten på en gång.

Vi har haft inbrott i våra lokaler. Behöver jag anmäla det till Polismyndigheten?

Företaget har en strikt och omfattande rapporteringsskyldighet enligt säkerhetsskyddsavtalet. Säkerhetsincidenter som berör företagets verksamhet och som bedöms kunna utgöra ett hot mot säkerhetsskyddet ska alltid rapporteras.

Till toppen