2020-12-03 (uppdaterad)
”En säkerhetsskyddad upphandling med säkerhetsskyddsavtal.” Det låter komplicerat, men SUA behöver faktiskt inte vara en snårig djungel att ta sig fram i.
Såhär ligger det till.
Vad omfattas och vem ansvarar
Varje organisation som omfattas av säkerhetsskyddslagen, ska ha det säkerhetsskydd som behövs med hänsyn till verksamhetens art, omfattning och övriga omständigheter. Det kan vara statliga myndigheter, kommuner, landsting, företag eller enskilda.
Säkerhetsskydd är skydd av säkerhetskänslig verksamhet mot antagonistiska handlingar som spionage, sabotage, terrorism och kriminalitet samt i andra fall av säkerhetsskyddsklassificerade uppgifter som rör Sveriges säkerhet. Det innebär att obehöriga inte ska kunna komma in på platser där sådana uppgifterna kan inhämtas, eller där man bedriver verksamhet kopplad till Sveriges säkerhet. Till sist ska personer som deltar i arbete kopplat till Sveriges säkerhet vara pålitliga ur säkerhetssynpunkt.
Den som är ansvarig för verksamheten ansvarar för att säkerhetsskyddet är tillräckligt bra. Och det här gäller oavsett om den skyddsvärda uppgiften, tillträdet till en plats, om den som sköter arbetet är anställd i den egna organisationen, eller om den ansvariga har köpt tjänsten. Så långt, ganska enkelt?
Köpa tjänster och Sveriges säkerhet
På senare tid har vi sett flera publika exempel på att det kan gå illa när man köper tjänster eller outsourcar. Men det behöver inte vara så. Så klart behöver alla verksamheter köpa vissa tjänster. Och det går bra att köpa tjänster även kring verksamhet där det förekommer uppgifter som omfattas av sekretess med hänsyn till Sveriges säkerhet.
Först måste köparen säkerställa att det finns ett fullgott säkerhetsskydd hos den man vill köpa tjänst av. Alltså, den som begär in anbud eller träffar avtal om upphandling där det förekommer hemliga uppgifter, måste först ha ett skriftligt säkerhetsskyddsavtal med anbudsgivaren/leverantören om det säkerhetsskydd som behövs i det aktuella fallet.
Syftet är att köparen måste vara säker på att leverantören har tillräcklig informationssäkerhet (inklusive IT-säkerhet), tillträdesbegränsning och säkerhetsprövning av personal. Både före och efter träffat avtal. Och vidare att leverantören utbildar och följer upp att allt funkar som det ska över tid. Leverantören måste ju uppnå den nivå som köparen har för sina sekretessbelagda uppgifter och som är nödvändiga för upphandlingen.
Hemligt uppdrag
Till sist, en viktig detalj – uppdrag med hänsyn till Sveriges säkerhet ska hållas hemliga i enlighet med säkerhetsskyddsavtalet mellan köpare och leverantör.
Har du fortfarande frågor? Vi på Vesper tagit fram en uppdaterad, relevant och informativ rådgivning/utbildning hur man gör denna typ av upphandling. Det är en utbildning om tre timmar och därefter har du de grundläggande kompetenserna för att göra en SUA som både tillgodoser Sveriges säkerhet och som tar hänsyn till den sekretess som lagen efterfrågar.
Vill du veta mer? Boka tid med Mattias Lundkvist så berättar vi om de möjligheter vi kan erbjuda.
Säkerhetsskyddad upphandling kan verka snårigt att genomföra på rätt sätt, men det finns en tydlig väg.