Personalsäkerhet i upphandlingssammanhang
Vid säkerhetsskyddade upphandlingar behöver ni som upphandlande organisation se till att personal blir säkerhetsprövad och att de inblandade har tillräckliga kunskaper om säkerhetsskydd. På denna sida får du bland annat veta vad en säkerhetsprövning innehåller och vad som krävs för att få säkerhetspröva personal.
Innehåll på denna sida
Personalsäkerhet genom säkerhetsprövning och utbildning
Personalsäkerhet ska
1. förebygga att personer som inte är pålitliga från säkerhetssynpunkt deltar i en verksamhet där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller i en verksamhet som av någon annan anledning är säkerhetskänslig, och
2. säkerställa att de som deltar i säkerhetskänslig verksamhet har tillräcklig kunskap om säkerhetsskydd.
Området personalsäkerhet består således av två delar – säkerhetsprövning och utbildning i säkerhetsskydd.
Utöver säkerhetsprövning och utbildning kan dessutom en hög medvetenhet om och engagemang för säkerhetsfrågor i organisationen bidra till ett effektivt säkerhetsskydd i praktiken. Läs gärna mer om det här:
Säkerhetsprövning
Personer som inte är pålitliga utifrån en säkerhetssynpunkt ska i möjligaste mån stängas ute från att delta i verksamhet som har betydelse för Sveriges säkerhet. Den som ska delta i säkerhetskänslig verksamhet ska därför säkerhetsprövas i förväg.
En säkerhetsprövning syftar till att klarlägga om en person kan antas vara lojal mot de intressen som skyddas enligt säkerhetsskyddslagstiftningen och i övrigt är pålitlig från säkerhetssynpunkt. Vid säkerhetsprövningen ska sådana omständigheter beaktas som kan antas innebära sårbarheter i säkerhetshänseende.
Det är verksamhetsutövaren som ansvarar för att säkerhetsprövningen genomförs. Vid upphandlingar kan den upphandlande organisationen avtala med en leverantör om att leverantören utför delar av säkerhetsprövningen av sin personal. Det är dock den upphandlande organisationen som ska göra den slutliga bedömningen av den prövades lämplighet.
Grundutredning, registerkontroll och särskild personutredning
Prövningen omfattar en grundutredning och i vissa fall en registerkontroll och en särskild personutredning. Såväl registerkontroll som särskild personutredning förutsätter som huvudregel att den aktuella befattningen är placerad i säkerhetsklass.
Med grundutredning avses en utredning om personliga förhållanden av betydelse för säkerhetsprövningen. Utredningen kan innebära kontroll av betyg, intyg och referenser samt att uppgifter från den som kontrollen avser hämtas in, till exempel genom en intervju eller ett frågeformulär.
Registerkontroll innebär att uppgifter hämtas från Polismyndighetens belastnings- och misstankeregister och att uppgifter hämtas som behandlas med stöd av lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område eller lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter.
Särskild personutredning innebär en undersökning av personens ekonomiska förhållanden och ska i övrigt ha den omfattning som behövs.
Säkerhetsprövningen ska följas upp under den tid som deltagandet i den säkerhetskänsliga verksamheten pågår. Anmälan och avanmälan av registerkontroll samt förnyad registerkontroll vid befattningsförändringar ska göras till Säkerhetspolisen i enlighet med bestämmelserna i säkerhetsskyddsförordningen (2021:955) och Säkerhetspolisens föreskrifter om säkerhetsskydd (PMFS 2022:1).
Placering i säkerhetsklass enligt en 3-gradig skala
Personer i befattningar som hanterar säkerhetsskyddsklassificerade uppgifter eller har möjlighet att skada Sveriges säkerhet placeras under vissa förutsättningar i säkerhetsklass, enligt en 3-gradig skala. Denna klassificering ska inte förväxlas med säkerhetsskyddsavtalets olika nivåer eller uppgifters säkerhetsskyddsklass.
Placering i säkerhetsklass beror framför allt på vilken säkerhetsskyddsklass det är på de säkerhetsskyddsklassificerade uppgifterna som de berörda får ta del av, och i vilken omfattning de tar del av dessa. Man tar även hänsyn till om personer till följd av sitt deltagande har möjlighet att orsaka skada för Sveriges säkerhet.
För befattningar som innebär hantering av säkerhetsskyddsklassificerade uppgifter kommer placeringen i säkerhetsklass således vara given utifrån den säkerhetsskyddsklass som uppgifterna har, det vill säga kvalificerat hemlig, hemlig eller konfidentiell. Om befattningarna innebär tillgång till annan säkerhetskänslig verksamhet än hantering av säkerhetsskyddsklassificerade uppgifter placeras befattningarna i säkerhetsklass utifrån en bedömning av vilken skada den personen har möjlighet att orsaka för Sveriges säkerhet.
Exempelvis ska ett deltagande i säkerhetskänslig verksamhet placeras i säkerhetsklass 1, om den som deltar i verksamheten
- i en omfattning som inte är ringa får del av uppgifter i säkerhetsskyddsklassen kvalificerat hemlig, eller
- till följd av sitt deltagande i verksamheten har möjlighet att orsaka synnerligen allvarlig skada för Sveriges säkerhet.
Deltagare i säkerhetskänslig verksamhet får endast placeras i säkerhetsklass om behovet av säkerhetsskydd inte kan tillgodoses på något annat sätt. Vidare ska ingen placering i säkerhetsklass göras om personen i fråga endast ska ta del av säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen begränsat hemlig eller om personen till följd av sitt deltagande i verksamheten endast har möjlighet att orsaka en ringa skada för Sveriges säkerhet. En säkerhetsprövning ska dock alltid göras.
Säkerhetsskyddsavtalet som grund för säkerhetsprövning med inplacering i säkerhetsklass
Personalsäkerhetsåtgärder som rör leverantörs (och eventuell underleverantörs) personal i form av säkerhetsprövning med inplacering i säkerhetsklass, registerkontroll och särskild personutredning förutsätter förekomsten av ett säkerhetsskyddsavtal mellan parterna. Säkerhetsskyddsavtalet innehåller de krav på säkerhetsskyddsåtgärder som ska gälla under avtalstiden och utgör således grunden för rätten att inplacera befattningar i säkerhetsklass.
Den upphandlande organisationen får inte låta göra säkerhetsprövning med registerkontroll eller särskild personutredning av leverantörens personal endast på grundval av en säkerhetsskyddsöverenskommelse, det vill säga till exempel när det är fråga om hantering av säkerhetsklassificerade uppgifter i säkerhetsskyddsklass begränsat hemlig. Det är dock möjligt att göra en begränsad säkerhetsprövning med grundutredning.
Personkrets som omfattas av säkerhetsprövning
I en säkerhetsskyddad upphandling kan olika befattningar komma att omfattas av säkerhetsprövning, det kan röra sig om till exempel leverantörens ledning och personal som deltar i det säkerhetsskyddade uppdraget.
Exakt vilka befattningar som behöver säkerhetsprövas hos leverantör (och eventuell underleverantör) inom ramen för den aktuella upphandlingen får ni som upphandlande organisation bedöma i det enskilda fallet. Ni ska med utgångspunkt i säkerhetsskyddsanalysen och den särskilda säkerhetsskyddsbedömningen bedöma vilka befattningar hos leverantören (och eventuell underleverantör) som ska placeras i säkerhetsklass och vilka befattningar hos densamma som ska säkerhetsprövas utan placering i säkerhetsklass.
Vid säkerhetsprövning av utländsk personal aktualiseras vissa särskilda moment och överväganden.
Utbildning
Ni som upphandlande organisation ska se till att leverantörens (och eventuell underleverantörs) personal som deltar i den säkerhetskänsliga verksamheten har relevant och tillräcklig kunskap om säkerhetsskydd. Detta innebär en skyldighet att se till att utbildningar i säkerhetsskydd genomförs och löpande följa upp behovet av sådan utbildning. Sådan utbildning ska ges regelbundet i den omfattning som behövs.
Den upphandlande organisationen ska vidare se till att innehållet i de utbildningar som genomförs anpassas efter deltagarnas funktioner och ansvar i verksamheten. I sammanhanget bör personalen även informeras om vilka relevanta interna rutiner och riktlinjer som finns.
Vid säkerhetsskyddade upphandlingar bör det framgå av säkerhetsskyddsavtalet hur och i vilken omfattning utbildningen av leverantörers personal ska genomföras, inklusive vem (den upphandlande organisationen eller leverantören) som ska hålla i vilka typer av utbildningar i säkerhetsskydd för leverantörens personal. En tillförlitlig och tydlig information kring detta är viktig, inte minst för att leverantörer ska kunna prissätta sitt anbud.
Tystnadsplikt
Sekretess innebär att person inte får, varken muntligen eller på annat sätt, röja en uppgift. Ordet sekretess används främst för att beskriva den tystnadsplikt som gäller i offentlig verksamhet för den som har eller har fått sekretessbelagd uppgift. Sekretessen och tystnadsplikten för sekretessbelagda uppgifter i offentlig verksamhet regleras i offentlighets- och sekretesslagen (2009:400) (OSL).
Det är dock inte endast sekretessbelagda uppgifter i offentlig verksamhet enligt OSL som åtnjuter ett lagstadgat skydd. I säkerhetsskyddslagen (2018:585) finns det särskilda bestämmelser om tystnadsplikt för säkerhetsskyddsklassificerade uppgifter, vilken gäller för den som på grund av anställning eller på annat sätt deltar eller har deltagit i säkerhetskänslig verksamhet.
Tystnadsplikt innebär en skyldighet att hemlighålla uppgifter och inte röja eller utnyttja dem vare sig muntligen eller på annat sätt. Den som bryter mot bestämmelserna om tystnadsplikt i OSL eller säkerhetsskyddslagen kan under vissa förutsättningar dömas till ansvar för brott mot tystnadsplikten eller brott mot Sveriges säkerhet.
Den upphandlande organisationen ska upplysa den som tillåts ta del av säkerhetsskyddsklassificerade uppgifter om räckvidden och innebörden av sekretess och tystnadsplikt som följer av OSL respektive säkerhetsskyddslagen. I dessa sammanhang kan den upphandlande organisationen upprätta en erinran om tystnadsplikt för säkerhetsskyddsklassificerade uppgifter som undertecknas av dem som får tillgång till säkerhetsskyddsklassificerade uppgifter. Erinran kan innehålla en påminnelse om den lagstadgade tystnadsplikten och utgöra ett bevismedel om att personen som deltagit säkerhetskänslig verksamhet intygat att denne informerats om tystnadsplikten. Vid säkerhetsskyddade upphandlingar bör frågan om tystnadsplikt framgå av och regleras i säkerhetsskyddsavtalet.
Tystnadsplikten gäller även efter att uppdraget har upphört att gälla varför den upphandlande organisationen bör påminna den som det berör om detta. Den som får tillgång till säkerhetsklassificerade uppgifter kan därför få underteckna erinran igen vid uppdragets avslutande.
Säkerhetspolisens information om utbildning och tystnadsplikt
Länkar för fördjupning
Du kan läsa mer om personalsäkerhet i Säkerhetspolisens information om personalsäkerhet.
- 2 kap. 4 § Säkerhetsskyddslagen (2018:585)
- 3 kap. 2–3, 13 och 17 §§ Säkerhetsskyddslagen
- Ett modernt och stärkt skydd för Sveriges säkerhet, prop. 2017/18:89, sid. 143
- 5 kap. 14 och 20 § Säkerhetsskyddsförordningen (2021:955) samt 6 kap. 13 § Säkerhetspolisens föreskrifter om säkerhetsskydd (PMFS 2022:1)
- 4 kap. 4 § Säkerhetsskyddslagen
- Prop. 2017/18:89, sid. 84–85, 104 och 147
- Ett starkare skydd för Sveriges säkerhet, prop. 2020/21:194, sid. 31–32
- 5 kap. 1 § Säkerhetsskyddsförordningen och 6 kap. 1 § PMFS 2022:1
- 8 kap. 1–2 §§ Säkerhetsskyddslagen och 2 Kap. 3 § Säkerhetsskyddsförordningen och 7 kap. 9 § PMFS 2022:1
- Brottsbalken (1962:700)