Säkrast inte lämna ut hemliga uppgifter
Vid en upphandling där leverantören ska hantera hemliga uppgifter av betydelse för rikets säkerhet ska samråd begäras med Säpo eller Försvarsmakten. De avgör om upphandlingen får genomföras.
Bakgrunden är Transportstyrelsens utkontraktering av it-driften 2015 när myndigheten gjorde avsteg från lagar som ska skydda känsliga uppgifter. Efter det infördes en ny paragraf i säkerhetsskyddsförordningen som trädde i kraft 1 april i år.
– De myndigheter som Försvarsmakten och Säkerhetspolisen har tillsynsansvar för ska begära samråd när säkerhetsskyddsavtal i nivå 1 ska tecknas. Det är när leverantör ska hantera hemliga uppgifter och då handlar det om sekretess på grund av rikets säkerhet. Det är inte bevakningssekretess eller något annat, säger Martin Lagerström, Militära underrättelse- och säkerhetstjänsten.
Vid samråden kan tre olika beslut fattas: utkontraktering får inte ske.
– Vi säger nej och det beslutet går inte att överklaga. Man kan begära nytt samråd, men inte överklaga själva beslutet.
Det andra är att utkontraktering får genomföras och det tredje är ett beslut om föreläggande.
Föreläggande innebär att Försvarsmakten eller Säkerhetspolisen medger utkontrakteringen om vissa åtgärder vidtas. Försvarsmakten har bestämt att inte kontrollera om föreläggandet efterlevs utan utgår från att myndigheten tar ansvar och åtgärdar bristerna innan man fortsätter. Uppföljning kommer i stället att ske vid tillsyn.
Vid samrådet tittas på om en utkontraktering är lämplig.
– Vi kan säga nej, att skyddsvärdet är så högt att det inte är lämpligt att lämna ut det här till en leverantör. Då behöver vi inte titta på hur man byggt skyddet utan konstaterar att det här har så högt skyddsvärde att myndigheten inte kan släppa iväg till någon annan.
Försvarsmakten och Säpo ska bedöma om säkerhetsskyddslagen krav kan tillgodoses. Det gäller alla områden inom säkerhetsskyddslagen, it-säkerhet, informationssäkerhet osv.
– Vi gör ingen värdering av om säkerhetsskyddskraven kommer att genomföras eller inte. Vi utgår från att man kommer att göra det man sagt gällande säkerhetsskyddet. Vi ska dock bedöma om det är möjligt eller inte att genomföra säkerhetsskyddskrav rent praktiskt säger Martin Lagerström.
Nytt är också att det ska göras en särskild säkerhetsanalys.
– Det är en särskild säkerhetsskyddsbedömning i nya lagen. Den gäller statliga myndigheter, men för alla som har skyddsvärda uppgifter är det jätteviktigt att man gör en särskild säkerhetsanalys på det som ska utkontrakteras, säger Johan Gyllenstierna, Säkerhetspolisen.
Säkerhetsskyddsavtal är bra men inte bäst.
– Man säger: vi lägger oss på Sua-nivå 1; vi skriver ett jättebra avtal och kräver en massa saker. Men det är inte det säkraste. Det säkraste är att behålla de hemliga handlingarna hos sig. Lämna ut hemliga handlingar till en leverantör är mindre bra.