Javascript är inte påslaget i din webbläsare. Vi rekommenderar att javacsript är aktiverat i webbläsaren, för bästa användning av webbplatsen.

Säkerhetsskyddad upphandling

En säkerhetsskyddad upphandling med säkerhetsskyddsavtal (SUA) utförs när det uppdrag eller den verksamhet som myndigheten avser att upphandla ger leverantören tillgång till säkerhetskänslig verksamhet och därför omfattas av säkerhetsskydd.

Säkerhetsskyddsavtal

I en säkerhetsskyddad upphandling finns alltid kravet på att ett säkerhetsskyddsavtal ska ha ingåtts mellan myndigheten och leverantören innan dess att affärsförbindelser som rör det upphandlade uppdraget kan ingås. I säkerhetsskyddsavtalet ställer myndigheten krav på bland annat säkerhetsåtgärder och säkerhetsorganisation som leverantören måste uppfylla för att kunna engageras i det upphandlade uppdraget.

Ett säkerhetsskyddsavtal är ett avtal mellan två juridiska personer. Polismyndigheten är den ena parten och leverantören är den andra. Eventuella underleverantörer till leverantören omfattas inte av säkerhetsskyddsavtalet. Om det säkerhetsskyddade uppdraget tillåter att underleverantörer anlitas måste dessa först anmälas och godkännas affärsmässigt av affärsavtalsansvarig från en av Polismyndighetens inköpsenheter, och sedan även godkännas ur säkerhetssynpunkt av en av Polismyndighetens verksamhetsskyddsfunktioner. Ett säkerhetsskyddsavtal kan sedan behöva ingås mellan underleverantören och Polismyndigheten innan underleverantören får engageras i leverantörens uppdrag.

Säkerhetsskyddsavtal i olika nivåer

Säkerhetsskyddsavtal kan ingås i tre stycken nivåer baserat på uppdragets beskaffenhet:

Nivå 1: Leverantören kommer att utanför Polismyndighetens lokaler eller utrymmen:

  • få tillgång till eller möjlighet att förvara säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller
  • få tillgång till säkerhetskänslig verksamhet där åtkomst till verksamheten kan medföra en inte obetydlig skada för Sveriges säkerhet.

Nivå 2: Leverantören kommer att i Polismyndighetens egna lokaler eller utrymmen:

  • få tillgång till eller möjlighet att förvara säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller
  • få tillgång till säkerhetskänslig verksamhet där åtkomst kan medföra en inte obetydlig skada för Sveriges säkerhet.

Nivå 3: Leverantören kan komma att i Polismyndighetens egna lokaler eller utrymmen:

  • få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiellt eller högre, eller
  • få tillgång till säkerhetskänslig verksamhet där åtkomst kan medföra en inte obetydlig skada för Sveriges säkerhet

Samråd vid utkontraktering

Om upphandlingen innebär att leverantören kan få tillgång till eller möjlighet att förvara säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre utanför myndighetens lokaler, eller om leverantören kan få tillgång till säkerhetskänsliga informationssystem utanför myndighetens lokaler där obehörig åtkomst till systemen kan medföra allvarlig skada för Sveriges säkerhet, ska Polismyndigheten genom en särskild säkerhetsbedömning identifiera och dokumentera vilka säkerhetsskyddsklassificerade uppgifter eller säkerhetskänsliga informationssystem som leverantören kan få del av och som kräver säkerhetsskydd, och sedan samråda med Säkerhetspolisen om upphandlingens lämplighet. Säkerhetspolisen kan besluta om att upphandlingen inte får genomföras.

Polismyndigheten gör platsbesök

Innan Polismyndigheten ingår ett säkerhetsskyddsavtal nivå 1 med en leverantör genomförs alltid ett platsbesök i de lokaler där de säkerhetsskyddsklassificerade uppgifterna ska förvaras. Besöket ska framförallt säkerställa att lokalerna är lämpliga ur säkerhetssynpunkt och uppfyller de krav på den fysiska säkerheten som ställs i säkerhetsskyddslagstiftningen.

Säkerhetsskyddsinstruktion

När ett säkerhetsskyddsavtal har ingåtts ska leverantören upprätta en säkerhetsskyddsinstruktion som dokumenterar hur denne uppfyller kravet på säkerhetsskydd enligt avtalet. Polismyndigheten måste godkänna säkerhetsskyddsinstruktionen innan leverantören får påbörja uppdraget, och måste även godkänna eventuella förändringar i säkerhetsskyddsinstruktionen. Polismyndigheten ska även kontrollera att säkerhetsskyddsinstruktionen efterlevs.

Personalsäkerhet

Polismyndigheten är skyldig att se till att dess leverantören har tillräcklig kunskap om säkerhetsskydd och sekretess. Polismyndigheten utbildar normalt nyckelpersoner hos leverantören, som sedan utbildar resterande personal som på något sätt ska delta i uppdraget. Leverantören ansvarar för att denna kunskap bibehålls inom företaget. All extern personal ska även ha kunskap om den sekretess och tystnadsplikt som gäller vid ett deltagande i Polismyndighetens verksamhet. Extern personal måste därför även skriva under en förbindelse om tystnadsplikt som gäller under uppdraget och även efter det att uppdraget har avslutats.

Säkerhetsprövning

Den personal som ska ingå i säkerhetsskyddat uppdrag för Polismyndigheten måste säkerhetsprövas i enlighet med säkerhetsskyddslagstiftningen. Säkerhetsprövningen handlar om att säkerställa att endast personer som bedöms pålitliga och lojala ur säkerhetssynpunkt engageras i uppdraget. Säkerhetsprövningen ska bland annat innehålla en säkerhetsprövningsintervju som ska dokumenteras. I säkerhetsskyddsavtalet lämnas ansvaret för säkerhetsprövning av leverantörens personal över till leverantören. Polismyndigheten kan när som helst begära ut dokumentation från säkerhetsprövningen. Polismyndigheten kan även besluta om att helt eller delvis själva utföra säkerhetsprövningen av leverantörens personal.

I vissa fall behöver personalen, som ett sista steg i säkerhetsprövningen, även placeras i säkerhetsklass genom registerkontroll.

Säkerhetsklass och registerkontroll

Polismyndigheten kan besluta om att en leverantörs personal behöver placeras i säkerhetsklass för att få engageras i uppdrag som omfattas av säkerhetsskyddsavtal. För att placeras i säkerhetsklass måste personen genomgå registerkontroll och, beroende på vilken säkerhetsklass registerkontrollen avser, även särskild personutredning. Registerkontrollen omfattar att information inhämtas från register som omfattas av lagen (1998:620) om belastningsregister eller lagen (1998:621) om misstankeregister samt uppgifter som behandlas med stöd av polisdatalagen (2010:361). Den särskilda personutredningen omfattar kontroll av individens och även en eventuell partners ekonomiska situation.

Polismyndigheten beställer registerkontroller av Säkerhetspolisen som utför och förvaltar registerkontrollerna. Samtycke till registerkontroll ska inhämtas och dokumenteras för samtliga individer som är föremål för registerkontroll. I säkerhetsskyddsavtalet läggs ansvaret för inhämtning och dokumentation av samtycke över på leverantören.

Till säkerhetsskyddsavtalet tillkommer alltid ledningskontrollen. Ledningskontrollen omfattar att en firmatecknare och den som är leverantörens utsedda säkerhetsskyddschef (om annan än firmatecknaren) registerkontrolleras under säkerhetsskyddsavtalet.

Registerkontroller är strikt knutna till specifika säkerhetsskyddsavtal.

Till toppen