Ärendenummer Dokumentdatum Konfidentialitetsnivå
Ärendenummer Dokumentdatum Konfidentialitetsnivå
[Ärendenummer] [Dokumentdatum]
Motpartens ärendenummer
[Motpartens ärendenummer]
Säkerhetsskyddsavtal – nivå 2
1 Parter
TRAFIKVERKET, organisationsnummer 202100-6297
781 89 Borlänge
Nedan kallad ”Trafikverket”
och
[LEVERANTÖR, organisationsnummer XXXXXX-XXXX] [ADRESS]
[POST NR ORT]
Nedan kallad ”Leverantören”
[om leverantören är underleverantör anges även huvudleverantören enl. nedan]
[Leverantören i detta avtal är underleverantör till:] [HUVUDLEVERANTÖR, organisationsnummer XXXXXX-XXXX] [ADRESS]
[POST NR ORT]
TMALL 1033 Säkerhetsskyddsavtal - nivå 2 3.0
har det datum som anges nedan ingått detta säkerhetsskyddsavtal
(”Säkerhetsskyddsavtalet”).
Säkerhetsskyddsavtalet är kopplat till [affärsavtal xxxx alternativt avropsavtal xxxx]
Avtal är giltigt från och med det datum då båda parter undertecknat avtalet och gäller tills vidare till dess det skriftligen sägs upp av någon av Parterna. (Se P 16 i detta avtal)
Dokumentdatum
[Dokumentdatum]
2 Inledning
2.1. Säkerhetsskyddsklassificerade uppgifter
[Välj ett eller flera alternativ.]
Alternativ
[Trafikverket avser att genomföra en upphandling och kommer därigenom tillhandahålla upphandlingsdokument till Leverantören. I upphandlingsdokumenten förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre. Leverantören kommer under upphandlingsprocessen att i Trafikverkets lokaler eller utrymmen få tillgång till sådana uppgifter.]
Alternativ
[Trafikverket avser att ingå ett kontrakt avseende [varor] [tjänster] [byggentreprenader] med Leverantören med benämningen [projektnamn] (nedan kallat ”Kontraktet”). Leverantörens prestationer enligt Kontraktet kallas Uppdraget. Leverantören kommer i och med fullgörande av kontraktet att i Trafikverkets lokaler eller utrymmen få tillgång till, eller möjlighet att förvara, sådana uppgifter.]
2.2 Säkerhetskänslig verksamhet
Välj ett eller flera alternativ.
Alternativ
TMALL 1033 Säkerhetsskyddsavtal - nivå 2 3.0
[Trafikverket avser att genomföra en upphandling varvid Leverantören under upphandlingsprocessen kommer att i Trafikverkets lokaler eller utrymmen komma i kontakt med säkerhetskänslig verksamhet där åtkomst till verksamheten kan medföra en inte obetydlig skada för Sveriges säkerhet.]
Alternativ
[Trafikverket avser att ingå ett kontrakt avseende [varor] [tjänster] [byggentreprenader] med Leverantören med benämningen [projektnamn] (nedan kallat ”Kontraktet”). Leverantörens prestationer enligt Kontraktet kallas Uppdraget.
Dokumentdatum
[Dokumentdatum]
Leverantören kommer i och med fullgörande av kontraktet att i Trafikverkets lokaler eller utrymmen delta i säkerhetskänslig verksamhet där åtkomst till verksamheten kan medföra en inte obetydlig skada för Sveriges säkerhet.]
Mot ovanstående bakgrund ska Parterna ingå detta Säkerhetsskyddsavtal. Säkerhetsskyddsavtalet är ett villkor för Kontraktets giltighet men utgör ingen garanti för att Trafikverket ska teckna Kontraktet med Leverantören.
3 Säkerhetskänslig verksamhet, säkerhetsskydd och säkerhetsskyddsklassificerade uppgifter
Med säkerhetsskydd avses skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter.
Med säkerhetsskyddsklassificerade uppgifter avses uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen OSL.
Verksamhet som är av betydelse för Sveriges säkerhet utgör säkerhetskänslig verksamhet.
4 Avtalets syfte, omfattning och begrepp
TMALL 1033 Säkerhetsskyddsavtal - nivå 2 3.0
Detta Säkerhetsskyddsavtal inklusive bilagor reglerar vilka säkerhetsskyddskrav och säkerhetsskyddsåtgärder som Leverantören ska uppfylla och vidta [för att ta del av upphandlingsdokumenten/inköpsdokumenten] [vid utförande av Uppdraget].
Avtalet utgör en grund för att placera Leverantörens personal i säkerhetsklass.
Vid motstridiga uppgifter i Säkerhetsskyddsavtalet och i Kontraktet har Säkerhetsskyddsavtalet företräde.
Dokumentdatum
[Dokumentdatum]
Ord och uttryck i säkerhetsskyddsavtalet inklusive bilagor har samma innebörd som i säkerhetsskyddslagen (2021:955), säkerhetsskyddsförordningen (2018:658) och Säkerhetspolisens föreskrifter om säkerhetsskydd, PMFS 2022:1 om inte annat särskilt anges.
5 Underleverantörer
Leverantören får vid hantering av säkerhetsklassificerade uppgifter eller vid säkerhetskänslig verksamhet inte anlita underleverantörer för fullgörande av Uppdraget utan Trafikverkets godkännande. Leverantören ska till Trafikverket redovisa samtliga underleverantörer som ska användas inom ramen för Uppdraget. Leverantören får endast anlita underleverantörer för fullgörande av Uppdraget som har ingått säkerhetsskyddsavtal med Trafikverket.
För det fall Leverantören identifierar behov av att anlita ytterligare underleverantör ska detta behov anmälas till Trafikverket. Trafikverket ska ges tid att teckna säkerhetsskyddsavtal med sådan underleverantör samt genomföra relevant säkerhetsprövning av personal innan denna personal kan arbeta inom ramen för Uppdraget.
6 Säkerhetsskyddsorganisation
Det ska finnas en säkerhetsskyddschef hos Leverantören som kontrollerar att verksamheten bedrivs i enlighet med detta Säkerhetsskyddsavtal samt fungerar som kontaktperson i säkerhetsskyddsfrågor mot Trafikverket.
Säkerhetsskyddschefen ska ingå eller vara direkt underställd Leverantörens ledning. Kravet på säkerhetsskyddschef innebär inte krav på en självständig befattning utan kan innehas av någon som har andra arbetsuppgifter.
TMALL 1033 Säkerhetsskyddsavtal - nivå 2 3.0
7 Behandling av säkerhetsskyddsklassificerade uppgifter
Säkerhetsskyddsklassificerade uppgifter i en viss säkerhetsskyddsklass och som omfattas av detta Säkerhetsskyddsavtal får endast behandlas i informationssystem eller på lagringsmedium som Trafikverket har anvisat för lägst den säkerhetsskyddsklass som uppgifterna har.
Dokumentdatum
[Dokumentdatum]
Trafikverket ska klassificera handlingar utifrån den säkerhetsskyddsklass som gäller för uppgifterna i handlingen. Innan Trafikverket tillgängliggör säkerhetsskyddsklassificerade uppgifter till Leverantören ska denne uppmärksammas på säkerhetsskyddsklassificeringen.
Om Leverantören upprättar en säkerhetsskyddsklassificerad handling åligger det Leverantören att informera Trafikverket om detta. Leverantören kan samråda med Trafikverket vid klassning av sådana handlingar.
Om Leverantören behandlar säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre på lagringsmedium ska de märkas med säkerhetsskyddsklass och identifieringsuppgift. Om lagringsmediet är fast monterat i annan utrustning ska i stället utrustningen märkas.
De säkerhetskyddsklassificerade uppgifter som hanteras av Leverantören får inte skrivas ut, kopieras, flyttas eller hanteras utanför Trafikverkets lokaler.
8 Informationssäkerhet i Trafikverkets informationssystem
Trafikverket är beroende av att kunna inhämta, bearbeta och kommunicera information i olika former. Informationen måste hanteras korrekt för att säkerställa rätt skyddsnivå gällande konfidentialitet, tillgänglighet, riktighet och spårbarhet.
Trafikverket ska klargöra för leverantören i vilken utsträckning handlingar m.m. som de tar del av innehåller säkerhetsskyddsklassificerade uppgifter och vilken säkerhetsskyddsklass uppgifterna har. Leverantören är skyldig att följa Trafikverkets hanteringsregler om inte annat överenskommits.
TMALL 1033 Säkerhetsskyddsavtal - nivå 2 3.0
9 Fysisk säkerhet
Leverantören får inte inom ramen för detta Säkerhetsskyddsavtal byta eller använda andra lokaler eller utrymmen för Uppdragets genomförande.
10 Personalsäkerhet
10.1 Behörighet
Dokumentdatum
[Dokumentdatum]
Säkerhetsskyddsklassificerade uppgifter får endast delges personer som har säkerhetsprövats och, om deltagandet har placerats i säkerhetsskyddsklass, registerkontrollerats samt godkänts av Trafikverket. Samma förutsättningar gäller för deltagande i säkerhetskänslig verksamhet.
Trafikverket bestämmer vem samt i vilken omfattning som denne får användas i Uppdraget.
10.2 Syfte och omfattning
Vid säkerhetsprövning ska personens lojalitet och pålitlighet från säkerhetssynpunkt bedömas.
Behörig att ta del av säkerhetsskyddsklassificerade uppgifter eller i övrigt delta i säkerhetskänslig verksamhet är endast den som:
1. har bedömts pålitlig från säkerhetssynpunkt,
2. har tillräckliga kunskaper om säkerhetsskydd, och
3. behöver uppgifterna eller annan tillgång till verksamheten för att kunna utföra sitt arbete eller på annat sätt delta i den säkerhetskänsliga verksamheten.
Säkerhetsprövningen ska innefatta en grundutredning om personliga förhållanden av betydelse från säkerhetssynpunkt. Utredningen ska åtminstone bestå av betyg, intyg och referenser samt att uppgifter från den som kontrollen avser inhämtas genom en intervju. Identitetskontroll ska göras. Om deltagandet är placerat i säkerhetsklass ska en registerkontroll göras.
TMALL 1033 Säkerhetsskyddsavtal - nivå 2 3.0
10.3 Leverantörens skyldigheter
Leverantören ansvarar för att säkerhetsprövningen av egen personal genomförs, avser dock ej egen ledning, om inte Trafikverket meddelar annat. Trafikverket har alltid rätt att göra den slutliga bedömningen om den kontrollerade ska få ta del av säkerhetsskyddsklassificerade uppgifter eller delta i den säkerhetskänsliga verksamheten.
Innan en framställan om registerkontroll skickas till Trafikverket ska Leverantören särskilt informera den kontrollerade om vad kontrollen innebär. Leverantören ska i samband med det inhämta den kontrollerades skriftliga samtycke till kontrollen.
Dokumentdatum
[Dokumentdatum]
Leverantören ska genast anmäla till Trafikverket om en registerkontrollerad person hos Leverantören lämnar Uppdraget.
Leverantören ska till Trafikverket anmäla inträffade eller befarade händelser eller omständigheter som kan vara av betydelse för den kontrollerades lämplighet och pålitlighet från säkerhetssynpunkt.
Om den kontrollerade under Uppdragets genomförande bedöms olämplig från säkerhetssynpunkt, ska Leverantören genast vidta de åtgärder som är lämpliga för att vederbörande inte ska fortsätta sitt deltagande i Uppdraget. Trafikverket har alltid rätt att göra den slutliga bedömningen om den kontrollerades lämplighet och begära att Leverantören omedelbart stänger av den kontrollerade från fortsatt deltagande i Uppdraget.
10.4 Utbildning
Trafikverket ska innan Uppdraget påbörjas tillse att tillräcklig utbildning i säkerhetsskydd ges till de personer hos Leverantören som deltar i den säkerhetskänsliga verksamheten. Behovet av utbildning ska följas upp under den tid deltagandet i den säkerhetskänsliga verksamheten pågår.
Därefter ansvarar Leverantören för att ovannämnda personer ges tillräcklig utbildning fortlöpande.
Utbildningen ska minst innehålla:
• Hot och sårbarheter som från säkerhetssynpunkt föreligger mot eller är förknippade med Uppdraget.
• Säkerhetsskyddsåtgärder som ska vidtas mot föreliggande hot och sårbarheter.
TMALL 1033 Säkerhetsskyddsavtal - nivå 2 3.0
11 Kontroll
11.1 Leverantörens kontroll
Leverantören ska fortlöpande kontrollera att endast behöriga personer som har godkänts av Trafikverket anlitas i Uppdraget. Vidare ska leverantören skyndsamt meddela Trafikverket om tidigare godkänd personal slutar eller av annan anledning tas bort från uppdraget eller projektet eller om ny personal tillkommer.
Dokumentdatum
[Dokumentdatum]
Leverantören ska fortlöpande kontrollera att säkerhetsskyddet avseende informationssäkerhet och fysisk säkerhet upprätthålls samt att skyddsnivån är jämn och tillräckligt hög.
Leverantören ska till Trafikverket anmäla inträffade eller befarade händelser eller omständigheter som kan vara av betydelse ur säkerhetssynpunkt.
Leverantören ska skyndsamt anmäla till Trafikverket om en säkerhetsskyddsklassificerad uppgift kan ha röjts eller om det inträffat en it-incident i ett av Trafikverkets informationssystem som har betydelse för säkerhetskänslig verksamhet.
11.2 Trafikverkets kontroll
Trafikverket äger alltid rätt att genomföra säkerhetsprövning av leverantörens ledning. Med leverantörens ledning avses den eller de individer som ingår i organisationens verkställande ledning som tillsatts för att sköta den löpande verksamheten. Den verkställande ledningen kan bestå av funktionella chefer såsom verkställande direktör, säkerhetsskyddschef, säkerhetschef, ekonomichef, operativ chef, strategichef, chefer för leverantörens produkt eller tjänst samt chefer för geografiska enheter. Säkerhetsprövningen innefattar säkerhetsprövningssamtal och Framställan om registerkontroll.
Detta gäller oaktat om avtalet avser huvudleverantör eller underleverantör om inte annat avtalas i detta avtal.
Trafikverket äger alltid rätt att kontrollera att Leverantören uppfyller Säkerhetsskyddsavtalet.
Vid en sådan kontroll får Verksamhetsutövaren biträdas av representanter från andra myndigheter.
TMALL 1033 Säkerhetsskyddsavtal - nivå 2 3.0
Kontrollen får inte vara mer ingripande än nödvändigt.
12 Kostnader
Leverantören ska bära eventuella kostnader som uppkommer med anledning av detta Säkerhetsskyddsavtal om inte något annat avtalas. Om detta avtal tecknas med underleverantör ska uppkomna kostnader alltid hanteras genom huvudleverantörens affärsavtal.
Dokumentdatum
[Dokumentdatum]
13 Tystnadsplikt
13.1 Tystnadsplikt
Den som deltar i säkerhetskänslig verksamhet får inte obehörigen röja eller utnyttja säkerhetsskyddsklassificerade uppgifter. Varje person hos Leverantören som är säkerhetsprövad enligt detta Säkerhetsskyddsavtal ska underteckna en erinran om tystnadsplikt enligt Säkerhetsskyddslagen kap. 8 § 2. Erinran om tystnadsplikt och samtycke till registerkontroll – SUA ska förvaras hos Trafikverket. Leverantör äger inte rätt att använda eller publicera information om uppdraget eller innehållet i uppdraget utan medgivande från Trafikverket.
14 Ändrade förhållanden och revidering
Leverantören ska utan dröjsmål anmäla till Trafikverket när någon förändring sker beträffande firma, organisationsnummer, styrelse, verkställande direktör, revisor, post- och besöksadress eller telefonnummer. Om ändringen avser uppgifter som registreras hos Bolagsverket eller motsvarande ska ett nytt registreringsbevis bifogas anmälan. En anmälan ska också göras om ägarförhållandena ändras, om Leverantören ställer in betalningar, begärs eller försätts i konkurs, inleder ackordsförhandlingar eller kan antas ha kommit på obestånd.
Trafikverket har rätt att revidera Säkerhetsskyddsavtalet om det krävs på grund av ändrade förhållanden, som förutom sådana omständigheter som avses i första stycket kan avse ändrade förhållanden i omvärlden som föranleder andra säkerhetsskyddsåtgärder än vad som följer av Säkerhetsskyddsavtalet eller att kraven på säkerhetsskydd förändrats.
TMALL 1033 Säkerhetsskyddsavtal - nivå 2 3.0
15 Avslut av uppdrag
Samtliga handlingar, materiel eller övrigt som innehåller säkerhetsskyddsklassificerade uppgifter och som har anknytning till Uppdraget är Trafikverkets egendom om inget annat har avtalats. Dessa handlingar eller dylikt ska senast i samband med att detta Säkerhetsskyddsavtal upphör att gälla återlämnas till Trafikverket eller vid den tidpunkt som Parterna särskilt kommer överens om.
Leverantören åtar sig att återlämna uppgifterna när de inte längre behövs för att fullgöra övriga åtaganden i uppdraget.
Dokumentdatum
[Dokumentdatum]
16 Ikraftträdande och uppsägning
Detta Säkerhetsskyddsavtal träder i kraft vid det datum båda Parter har undertecknat det och gäller tills vidare till dess det skriftligen sägs upp av någon av Parterna.
Leverantören kan dock inte ensidigt säga upp Säkerhetsskyddsavtalet till en tidigare tidpunkt än den dag då Uppdraget har slutförts och alla säkerhetsskyddsklassificerade uppgifter har återlämnats till Trafikverket.
Trafikverket kan ensidigt säga upp detta Säkerhetsskyddsavtal liksom Kontraktet med omedelbar verkan om Leverantören har brutit mot Säkerhetsskyddsavtalet.
Trafikverket har även rätt att häva avtalet på grund av omständighet, som har uppkommit utan parternas vållande, där avtalet måste avbrytas under så lång tid att förutsättningarna för kontraktets fullgörande väsentligen rubbas.
Ort och datum Ort och datum
För Trafikverket För [Leverantören]
Namnförtydligande Namnförtydligande
[om bilagor ska bifogas anges dessa här]
TMALL 1033 Säkerhetsskyddsavtal - nivå 2 3.0
Bilagor
Dokumentdatum
[Dokumentdatum]
Dokumentegenskaper, Ärendenummer [Ärendenummer], Motpartens ärendenummer [Motpartens ärendenummer], Dokumentdatum [Dokumentdatum], Dokumenttyp AVTAL.
TMALL 1033 Säkerhetsskyddsavtal - nivå 2 3.0
Ovanstående textfält är endast avsett att läsas digitalt och får ej tas bort. Det innehåller uppgifter från sidhuvudet och gör att dokumentets egenskaper blir tillgängliga enligt Lag (2018:1937) om tillgänglighet till digital offentlig service.