Den nya säkerhetsskyddslagens betydelse vid offentlig upphandling
Den 1 april trädde den nya säkerhetsskyddslagen i kraft. Lagen innebär utökade skyldigheter för verksamheter som hanterar säkerhetsskyddsklassificerade uppgifter, inte minst i samband med upphandling. Vår steg-för-steg-guide lär dig mer.
För att genomföra en upphandling i ett fall där säkerhetsskyddslagen är tillämplig bör den upphandlande myndigheten följa tre steg:
Steg 1 – Förberedelse
Även om en säkerhetsskyddsanalys redan har genomförts bör den upphandlande myndigheten genomföra en specifik säkerhetsanalys avseende upphandlingsföremålet. En sådan förstudie underlättar för den upphandlande myndigheten att identifiera vilken information som leverantörer behöver ta del av för att kunna delta i upphandlingen. Utifrån informationen kan den upphandlande myndigheten bedöma om upphandlingen omfattas av säkerhetsskyddslagen eller inte.
Om analysen visar att det förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre i upphandlingen, eller om upphandlingen i övrigt avser eller ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet, måste den upphandlande myndigheten ingå säkerhetsskyddsavtal med leverantörerna innan de får del av säkerhetsklassificerade uppgifter. Säkerhetsskyddsavtal ska träffas både med leverantören och med eventuella underleverantörer.
Steg 2 – Upphandling
När den upphandlande myndigheten har konstaterat att upphandlingen kommer att innehålla säkerhetsskyddsklassificerade uppgifter måste myndigheten ställa särskilda säkerhetskrav i upphandlingen. Det är viktigt att inte ställa alltför detaljerade krav alltför tidigt i upphandlingen, eftersom vissa krav oavsiktligt kan avslöja säkerhetsskyddsklassificerade uppgifter. Det kan därför vara lämpligt att upphandla genom ett tvåstegsförfarande, eftersom det möjliggör för den upphandlande myndigheten att avvakta med att tillhandahålla viss information exempelvis till dess att vissa leverantörer kvalificerats, valts ut för anbudsgivning och genomgått en säkerhetsprövning.
Det är viktigt med noggrann kravställning i upphandlingen, för att säkerställa att säkerhetsskyddsaspekterna tillgodoses. Kraven måste vara tydliga, relevanta och mätbara eftersom det annars blir omöjligt för den upphandlande myndigheten att kontrollera kravens efterlevnad. Den upphandlande myndigheten kan även underlätta sitt säkerhetsskyddsarbete genom att ställa krav på leverantören att i sin tur dokumentera sitt säkerhetsskyddsarbete, såsom säkerhetsprövningssamtal med anställda, registerkontroller och genomförda säkerhetsskyddsutbildningar. Andra viktiga frågor som den upphandlande myndigheten också bör ta ställning till är i vilken utsträckning myndigheten bör ha rätt att göra inspektioner hos leverantören och i vilken omfattning leverantören får anlita underleverantörer. Det bör uppmärksammas att om den upphandlande myndigheten tillåter att leverantören anlitar underleverantörer, måste myndigheten även rikta krav mot underleverantörerna.
Utöver konkreta krav bör den upphandlande myndigheten även sträva efter att tidigt ha en bra samverkansmodell och nära dialog med leverantören.
Steg 3 – Realisering
Även när upphandlingen är avslutad har den upphandlande myndigheten ett ansvar att säkerställa och följa upp att leverantören och eventuella underleverantörer uppfyller de ställda säkerhetsskyddskraven under avtalstiden. För att uppfylla skyldigheterna i säkerhetsskyddslagen måste myndigheten fortlöpande arbeta aktivt med säkerhetsskyddsfrågorna och identifiera förändrade behov eller utrymme för att implementera förbättrade säkerhetsskyddsåtgärder.
Det är viktigt att bedriva ett aktivt arbete med säkerhetsskydd även när relationen till leverantören ska avslutas, med fokus på att den upphandlande myndigheten har kontroll över informationen genom att vidta åtgärder för att säkerställa att leverantören efter att avtalet upphört inte har kvar några säkerhetsskyddsklassificerade uppgifter.
Det här är en förkortad version av guiden. Hela guiden, skriven av Kristian Pedersen och Karolina Kjellberg, finns i JP Upphandlingsnet.
Publicerad 5 apr 2019