Säpo

Säkerhetsskyddad upphandling med säkerhetsskyddsavtal

När en myndighet gör en upphandling där det förekommer uppgifter som är sekretessbelagda med hänsyn till rikets säkerhet ställs särskilda krav på säkerhetsskydd.

Reglerna för säkerhetsskyddad upphandling (SUA) gäller statliga myndigheter, kommuner och landsting som planerar att begära in anbud eller göra ett avtal om upphandling för verksamhet som innehåller hemliga uppgifter. Myndigheten ska då göra ett skriftligt säkerhetsskyddsavtal med anbudsgivaren eller leverantören om säkerhetsskydd. Detta finns reglerat i 8 § säkerhetsskyddslagen.

Säkerhetsskyddsavtal i tre nivåer

Om upphandlingen ska omfattas av säkerhetsskydd måste myndigheten göra ett skriftligt säkerhetsskyddsavtal innan affärsavtalet träffas. Säkerhetsskyddsavtalet är en överenskommelse om det säkerhetsskydd som behövs i det särskilda fallet.

Syftet med säkerhetsskyddsavtalet är att de intressen som säkerhetsskyddslagstiftningen slår vakt om ska ha samma nivå på säkerhetsskyddet oavsett var och hur verksamheten bedrivs. Myndigheten ska alltså ställa krav på samma nivå på säkerhetsskydd hos leverantörer som den ställer i sin egen verksamhet. Detta gäller både huvudleverantör och eventuella underleverantörer som tar del av hemliga uppgifter.

Säkerhetsskyddsavtal görs i tre nivåer beroende på var verksamheten ska bedrivas:

  • Nivå 1: Företaget hanterar och/eller förvarar hemliga uppgifter utanför myndighetens lokaler.
  • Nivå 2: Företaget hanterar och förvarar hemliga uppgifter i myndighetens lokaler eller i lokaler eller områden som anvisats av myndigheten.
  • Nivå 3: Företaget kan komma att få ta del av hemliga uppgifter i myndighetens lokaler eller i lokaler eller områden som anvisats av myndigheten.

Från den 1 april 2018 gäller nya regler för statliga myndigheter som har för avsikt att göra en säkerhetsskyddad upphandling med säkerhetsskyddsavtal på nivå 1. Innan upphandlingsprocessen inleds ska myndigheten göra en särskild säkerhetsanalys och samråda med sin tillsynsmyndighet, Säkerhetspolisen eller Försvarsmakten. 
Samråd vid säkerhetsskyddad upphandling

Säkerhetsskyddsinstruktion och säkerhetsprövning

När ett säkerhetsskyddsavtal har ingåtts ska leverantören upprätta en säkerhetsskyddsinstruktion. I instruktionen ska leverantören redovisa vilka säkerhetsskyddsåtgärder den kommer att vidta under uppdraget.

Om leverantören ska hantera och förvara hemliga uppgifter i sina egna lokaler ska myndigheten besöka företaget för att kontrollera att lokaler och övriga förhållanden är lämpliga ur säkerhetsskyddssynpunkt.

Alla som ska delta i uppdraget och som kan antas få del av hemliga uppgifter ska säkerhetsprövas. Om uppdraget är placerat i säkerhetsklass ska även en registerkontroll göras. De som får del av hemliga uppgifter ska upplysas om den tystnadsplikt som gäller.

Myndigheten är skyldig att meddela Säkerhetspolisen när ett säkerhetsskyddsavtal har ingåtts eller upphört att gälla.

Vägledning och tips

Under Relaterade dokument hittar du Säkerhetspolisens vägledning till säkerhetsskyddad upphandling. Vägledningen vänder sig i första hand till de myndigheter över vilka Säkerhetspolisen har ett tillsynsansvar. Syftet är att den ska stödja den enskilda handläggaren i upphandlingsarbetet.

Bilagorna A-D i vägledningen finns även som egna dokument till vänster. De innehåller mallar för säkerhetsskyddsavtal på nivå 1–3 samt ett exempel på en sekretessförbindelse. Observera att avtalsmallarna alltid måste anpassas till det aktuella uppdraget och de säkerhetsskyddsåtgärder som har bedömts som nödvändiga.

I lathunden 10 tips för säkrare outsourcing hittar du bland annat grundläggande tips för att inkludera säkerhetsskydd i din upphandling. ​