Säkerhetsskyddsavtal

Säkerhetsskyddsavtal

Nivå 2

1 Parter

Sjöfartsverket, organisationsnummer 202100-0654

601 78 Norrköping

Nedan kallad ”Verksamhetsutövaren”

och

Leverantör AB organisationsnummer xxxxxx-xxxx Postadress

Postnummer, Ort

Nedan kallad ”Leverantören”.

har det datum som anges nedan ingått detta säkerhetsskyddsavtal

(”Säkerhetsskyddsavtalet”)

2 Inledning

2.1 Uppdraget rör säkerhetskänslig verksamhet och säkerhetsskyddsklassificerade uppgifter

Verksamhetsutövaren avser att ingå ett Leverantörsavtal med Leverantör AB avseende tjänster i ärende med benämningen xx-xxxxx + ärendenamn (nedan

kallat ”Leverantörsavtalet”). Leverantörens prestationer enligt Leverantörsavtalet kallas Uppdraget.

Leverantören kommer att i Verksamhetsutövarens egna lokaler eller utrymmen få tillgång till säkerhetskänslig verksamhet och säkerhetsskyddsklassificerade uppgifter där åtkomst kan medföra en inte obetydlig skada för Sveriges säkerhet.

Mot ovanstående bakgrund ska Parterna ingå detta Säkerhetsskyddsavtal med ärendenummer xx-xxxxx. Säkerhetsskyddsavtalet är ett villkor för Leverantörsavtalets giltighet men utgör ingen garanti för att Verksamhetsutövaren ska teckna Leverantörsavtal med Leverantören.

2.2 Säkerhetskänslig verksamhet, säkerhetsskydd och säkerhetsskyddsklassificerade uppgifter

Verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktigande internationellt åtagande om säkerhetsskydd utgör säkerhetskänslig verksamhet. Med säkerhetsskydd avses skydd av säkerkänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter.

Med säkerhetsskyddsklassificerade uppgifter avses uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400) eller som skulle ha omfattats av sekretess enligt den lagen, om den hade varit tillämplig.

3 Avtalets syfte, omfattning samt begrepp

Detta Säkerhetsskyddsavtal reglerar vilka säkerhetsskyddskrav och säkerhetsskyddsåtgärder som Leverantören ska uppfylla och vidta vid utförande av Uppdraget.

Avtalet utgör en grund för att besluta om vilka anställningar och annat deltagande hos Leverantören som ska placeras i säkerhetsklass.

Vid motstridiga uppgifter i Säkerhetsskyddsavtalet och i Leverantörsavtalet har Säkerhetsskyddsavtalet företräde.

Om Leverantörens verksamhet omfattas av säkerhetsskyddslagen (2018:585) kan säkerhetsskyddskraven inte göras mindre långtgående i detta Säkerhetsskyddsavtal.

Ord och uttryck i säkerhetsskyddsavtalet har samma innebörd som i säkerhetsskyddslagen (2018:585), säkerhetsskyddsförordningen (2018:658) och Säkerhetspolisens föreskrifter om säkerhetsskydd, PMFS 2019:2 om inte annat särskilt anges.

4 Anmälan av säkerhetsskyddsavtal

När detta Säkerhetsskyddsavtal har ingåtts ska Verksamhetsutövaren anmäla det till Säkerhetspolisen.

5 Underleverantörer

Leverantören får inte anlita underleverantörer för fullgörande av Uppdraget utan Verksamhetsutövarens godkännande.

Om Leverantören anlitar underleverantör för fullgörande av Uppdraget ska det anmälas till Verksamhetsutövaren på, av Verksamhetsutövaren, angiven blankett.

6 Säkerhetsskyddsorganisation

Det ska finnas en säkerhetsskyddschef (säkerhetsansvarig eller motsvarande) hos Leverantören som kontrollerar att verksamheten bedrivs i enlighet med detta Säkerhetsskyddsavtal samt fungerar som kontaktperson i säkerhetsskyddsfrågor mot Verksamhetsutövaren.

Säkerhetsskyddschefen ska ingå eller vara direkt underställd Leverantörens ledning. Kravet på säkerhetsskyddschef innebär inte krav på en självständig befattning utan kan innehas av någon som har andra arbetsuppgifter.

7 Behandling av säkerhetsskyddsklassificerade uppgifter

7.1 Grundläggande bestämmelser

Leverantören och dess personal som deltar i Uppdraget åtar sig att följa Verksamhetsutövarens bestämmelser om behandling av säkerhetsskyddsklassificerade uppgifter.

7.2 Deklaration av sekretessbelagda data

All data och information som delas mellan projektteam betraktas som oklassificerad i allmänhet. Om sekretessbelagda uppgifter ska delas med Leverantören ska Verksamhetsutövaren informera skriftligen samt bestämma i detalj, vilka informationsdelar som specifikt klassificeras och vilka klassificeringsnivåer som gäller.

7.3 Princip för undvikande

I båda parters intresse ska delning av sekretessbelagd information begränsas till ett minimum. Därför kommer Verksamhetsutövaren - när det är möjligt - att ta bort / maskera / anonymisera sekretessbelagda uppgifter innan han delar dokument eller filer med leverantören.

7.4 Behandling av sekretessbelagda uppgifter

Säkerhetsskyddsklassificerade uppgifter i en viss säkerhetsskyddsklass och som omfattas av detta Säkerhetsskyddsavtal får endast behandlas i informationssystem eller på lagringsmedium som Verksamhetsutövaren har godkänt för lägst den säkerhetsskyddsklass som uppgifterna har.

Leverantören får endast hantera och förvara säkerhetsskyddsklassificerade uppgifter i Verksamhetsutövarens egna lokaler eller utrymmen. Leverantören får inte medföra säkerhetsskyddsklassificerade uppgifter från Verksamhetsutövarens lokaler eller utrymmen.

Leverantören får endast hantera och förvara säkerhetsskyddsklassificerade uppgifter i Verksamhetsutövarens egna lokaler på huvudkontoret i Norrköping.

7.5 Överföring av sekretessbelagda uppgifter till leverantören

Om det blir nödvändigt att överföra sekretessbelagd information (information som inte är säkerhetsskyddsklassificerad) till leverantören (det vill säga att data ska hanteras på en dator alternativt hantering av utskrivna dokument), ska

leverantören xxxxxx denna information enligt den klassificeringsnivå som definierats av Verksamhetsutövaren.

8 Informationssäkerhet i informationssystem

Leverantören och dess personal som deltar i Uppdraget åtar sig att följa Verksamhetsutövarens bestämmelser om informationssäkerhet i informationssystem.

Allt arbete ska ske på dator utgiven av Verksamhetsutövaren. Endast behörig personal hos Leverantören får ha tillgång till informationssystem som behandlar säkerhetsskyddsklassificerade uppgifter.

Säkerhetsskyddet ska med avseende på Informationssäkerhet

1. förebygga att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs, och

2. förebygga skadlig inverkan i övrigt på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet.

9 Fysisk säkerhet

Leverantören och dess personal som deltar i Uppdraget åtar sig att följa Verksamhetsutövarens bestämmelser om fysisk säkerhet.

Säkerhetsskyddet ska med avseende på Fysisk säkerhet

1. förebygga att obehöriga får tillträde till områden, byggnader och andra anläggningar eller objekt där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller där säkerhetskänslig verksamhet i övrigt bedrivs, och

2. förebygga skadlig inverkan på sådana områden, byggnader, anläggningar eller objekt som avses i 1.

Uppdraget ska genomföras på verksamhetsutövarens huvudkontor i Norrköping. Leverantören får inte utan Verksamhetsutövarens skriftliga godkännande byta eller använda andra lokaler eller utrymmen för Uppdragets genomförande.

Endast behörig personal hos Leverantören får ha tillträde till en lokal eller annat utrymme där säkerhetskänslig verksamhet bedrivs.

10 Personalsäkerhet

10.1 Behörig att ta del av säkerhetsskyddsklassificerade uppgifter och delta i säkerhetskänslig verksamhet

Säkerhetsskyddsklassificerade uppgifter får endast delges personer som har säkerhetsprövats och, om deltagandet har placerats i säkerhetsskyddsklass, registerkontrollerats samt godkänts av Verksamhetsutövaren.

Verksamhetsutövaren bestämmer vem samt i vilken omfattning som denne får användas i Uppdraget.

Endast personer som har säkerhetsprövats och, om deltagandet har placerats i säkerhetsskyddsklass, registerkontrollerats samt godkänts av Verksamhetsutövaren får ha åtkomst till, eller delta i säkerhetskänslig verksamhet. Verksamhetsutövaren bestämmer vem samt i vilken omfattning som denne får användas i Uppdraget.

Behörig att ta del av säkerhetsskyddsklassificerade uppgifter eller i övrigt delta i säkerhetskänslig verksamhet är endast den som:

1. har bedömts pålitlig ur säkerhetssynpunkt, (det vill säga godkänd säkerhetsprövning och registerkontroll)

2. har tillräckliga kunskaper om säkerhetsskydd, och

3. behöver uppgifterna eller annan tillgång till verksamheten för att kunna utföra sitt arbete eller på annat sätt delta i den säkerhetskänsliga verksamheten.

11 Säkerhetsprövning

11.1 Syfte

Innan en person får delta i säkerhetskänslig verksamhet och ta del av säkerhetsskyddsklassificerade uppgifter ska Leverantören genom säkerhetsprövning bedöma personens lojalitet och pålitlighet ur säkerhetssynpunkt.

Säkerhetsprövningen ska omfatta varje person som ska delta i säkerhetskänslig verksamhet och ta del av säkerhetsskyddsklassificerade uppgifter oavsett om registerkontroll förekommer eller inte.

Säkerhetsprövningen ska genomföras på all den personal hos Leverantören som ska ingå i Uppdraget inklusive verkställande direktör och säkerhetsansvarig.

11.2 Ansvar för säkerhetsprövningen

Leverantören ansvarar för att säkerhetsprövningen genomförs om inte Verksamhetsutövaren meddelar annat.

Verksamhetsutövaren har alltid rätt att göra den slutliga bedömningen om den kontrollerade ska få delta i den säkerhetskänsliga verksamheten och ta del av säkerhetsskyddsklassificerade uppgifter.

11.3 Säkerhetsprövningens innehåll

Säkerhetsprövningen ska innefatta en grundutredning om personliga förhållanden av betydelse ur säkerhetssynpunkt. Utredningen ska åtminstone bestå av betyg, intyg och referenser samt att uppgifter från den som kontrollen avser inhämtas genom ett samtal. Vid behov ska en identitetskontroll göras.

Leverantören ska på Verksamhetsutövarens begäran inkomma med det underlag som Verksamhetsutövaren behöver för att kunna genomföra registerkontroll på Leverantörens personal.

Leverantörens ledning inplaceras i säkerhetsklass [x].

Övrigt deltagande är placerat i säkerhetsklass [x] [och därför ska en särskild personutredning göras om den kontrollerades ekonomiska förhållanden.

Utredningen innefattar även en kontroll av make, maka eller sambo. En grundutredning kan behöva kompletteras om uppgifter lämnas ut efter registerkontroll.]

Om en person som har säkerhetsprövats inom ramen för detta säkerhetsskyddsavtal befinns olämplig från säkerhetssynpunkt, ska Leverantören vidta de åtgärder som är lämpliga för att vederbörande inte ska få tillgång till säkerhetsskyddsklassificerade uppgifter eller tillträde till lokaler, områden eller motsvarande där säkerhetskänslig verksamhet bedrivs.

11.4 Samtycke

Innan en anmälan om registerkontroll skickas till Verksamhetsutövaren ska Leverantören särskilt informera den kontrollerade om vad kontrollen innebär. Leverantören ska i samband med det inhämta den kontrollerades skriftliga samtycke till kontrollen. Det dokumenterade samtycket ska förvaras hos Verksamhetsutövaren.

Samtycket omfattar eventuella nya kontroller under den tid som deltagandet i den säkerhetskänsliga verksamheten pågår.

11.5 Anmälan om den kontrollerade slutar

Leverantören ska genast anmäla till Verksamhetsutövaren om en registerkontrollerad person hos Leverantören lämnar Uppdraget. Verksamhetsutövaren ska då skyndsamt anmäla till Säkerhetspolisen att personen har lämnat Uppdraget.

11.6 Anmäla sårbarheter i säkerhetshänseende

Leverantören ska till Verksamhetsutövaren anmäla inträffade eller befarade händelser eller omständigheter som kan vara av betydelse för den kontrollerades lämplighet och pålitlighet från säkerhetssynpunkt.

11.7 Förbud mot fortsatt deltagande

Om den kontrollerade under Uppdragets gång bedöms olämplig från säkerhetssynpunkt, ska Leverantören genast vidta de åtgärder som är lämpliga för att vederbörande inte ska fortsätta sitt deltagande i Uppdraget.

Verksamhetsutövaren har alltid rätt att göra den slutliga bedömningen om den kontrollerades lämplighet och begära att Leverantören omedelbart stänger av den kontrollerade från fortsatt deltagande.

11.8 Utbildning i säkerhetsskydd

Verksamhetsutövaren ska innan Uppdraget påbörjas tillse att tillräcklig utbildning i säkerhetsskydd ges till de personer hos Leverantören som deltar i den säkerhetskänsliga verksamheten och/eller tar del av säkerhetsskyddsklassificerade uppgifter.

Verksamhetsutövaren ska tillhandahålla den information som Leverantören behöver för att kunna genomföra utbildningen.

Utbildningen, som är e-utbildning, syftar till att ge en generell förståelse för säkerhetsskyddsarbete ska i samband med avtalstecknande genomföras av den personal som ska arbeta i Uppdraget.

Utbildningen ska minst innehålla:

• Hot och sårbarheter

• Säkerhetsskyddsåtgärder

12 Leverantörens kontroll

Leverantören ska fortlöpande kontrollera att endast behöriga personer som har godkänts av Verksamhetsutövaren anlitas i Uppdraget.

Leverantören ska fortlöpande kontrollera att säkerhetsskyddet avseende informationssäkerhet och fysisk säkerhet upprätthålls samt att skyddsnivån är jämn och tillräckligt hög.

Leverantören ska till Verksamhetsutövaren anmäla inträffade eller befarade händelser eller omständigheter som kan vara av betydelse ur säkerhetssynpunkt.

13 Verksamhetsutövarens kontroll över säkerhetsskyddet

Verksamhetsutövaren äger alltid rätt att kontrollera att Leverantören uppfyller Säkerhetsskyddsavtalet.

Vid en sådan kontroll får Verksamhetsutövaren biträdas av representanter från andra myndigheter.

Kontrollen innebär att Leverantören på Verksamhetsutövarens begäran ska lämna in underlag för genomfört säkerhetsprövningssamtal, intyg på genomförs utbildning i grundläggande säkerhetsskydd eller annat underlag som Verksamhetsutövaren vill kontrollera.

Kontrollen får dock inte vara mer ingripande än nödvändigt.

14 Anmälan vid säkerhetshotande händelser och verksamhet

Leverantören ska skyndsamt anmäla till Verksamhetsutövaren om en säkerhetsskyddsklassificerad uppgift kan ha röjts, om det inträffat en IT-incident i ett informationssystem som Leverantören är ansvarig för och som har betydelse för säkerhetskänslig verksamhet och där incidenten allvarligt kan påverka säkerheten i systemet, eller om Leverantören får kännedom eller misstanke om någon annan för denne allvarlig säkerhetshotande verksamhet.

15 Kostnader

Respektive part ska bära eventuella egna kostnader som uppkommer med anledning av detta Säkerhetsskyddsavtal om inte något annat avtalas.

16 Åtagande om sekretess och erinran om lagstadgad tystnadsplikt

16.1 Åtagande om sekretess

I Uppdraget kan Leverantören få del av uppgifter som omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400).

Leverantören åtar sig att inte obehörigen röja eller utnyttja uppgifter som omfattas av sekretess.

Leverantören åtar sig att informera och tillse att varje person hos Leverantören som är säkerhetsprövad enligt detta Säkerhetsskyddsavtal följer denna bestämmelse.

16.2 Erinran om lagstadgad tystnadsplikt för säkerhetsskyddsklassificerade uppgifter

Den som deltar i säkerhetskänslig verksamhet får inte obehörigen röja eller utnyttja säkerhetsskyddsklassificerade uppgifter.

Varje person hos Leverantören som är säkerhetsprövad enligt detta Säkerhetsskyddsavtal ska underteckna en erinran om tystnadsplikt. Xxxxxxx om tystnadsplikt ska förvaras hos Verksamhetsutövaren.

17 Ändrade förhållanden och revidering

Leverantören ska utan dröjsmål anmäla till Verksamhetsutövaren när någon förändring sker beträffande bolag, organisationsnummer, styrelse, verkställande direktör, revisor, post- och besöksadress eller telefonnummer.

Om ändringen avser uppgifter som registreras hos Bolagsverket eller motsvarande ska ett nytt registreringsbevis bifogas anmälan. En anmälan ska också göras om ägarförhållandena ändras, om Leverantören ställer in betalningar, begärs eller försätts i konkurs, inleder ackordsförhandlingar eller kan antas ha kommit på obestånd.

Verksamhetsutövaren har rätt att revidera Säkerhetsskyddsavtalet om det krävs på grund av ändrade förhållanden, som förutom sådana omständigheter som avses i första stycket kan avse ändrade förhållanden i omvärlden som föranleder andra säkerhetsskyddsåtgärder än vad som följer av Säkerhetsskyddsavtalet eller att kraven på säkerhetsskydd förändrats.

18 Åtgärder när Säkerhetsskyddsavtalet upphör att gälla

När detta Säkerhetsskyddsavtal har upphört ska Verksamhetsutövaren upplysa Leverantören om den tystnadsplikt som följer av 5 kap. 2 § säkerhetsskyddslagen (2018:585).

Samtliga handlingar, materiel eller övrigt som innehåller säkerhetsskyddsklassificerade uppgifter och som har anknytning till Uppdraget är Verksamhetsutövarens egendom om inget annat har avtalats. Dessa handlingar eller dylikt ska senast i samband med att detta Säkerhetsskyddsavtal upphör att gälla återlämnas till Verksamhetsutövaren eller vid den tidpunkt som Parterna särskilt kommer överens om.

När detta Säkerhetsskyddsavtal har upphört ska Verksamhetsutövaren skyndsamt avanmäla det till Säkerhetspolisen inklusive de registerkontroller som hör till avtalet.

19 Ikraftträdande och uppsägning

Detta Säkerhetsskyddsavtal träder i kraft vid det datum båda Parter har undertecknat det och gäller tills vidare till dess det skriftligen sägs upp av någon av Parterna. Leverantören kan dock inte ensidigt säga upp Säkerhetsskyddsavtalet till en tidigare tidpunkt än den dag då Uppdraget har slutförts och alla säkerhetsskyddsklassificerade uppgifter har återlämnats till Verksamhetsutövaren.

Verksamhetsutövaren kan ensidigt säga upp detta Säkerhetsskyddsavtal liksom Leverantörsavtalet med omedelbar verkan om Leverantör AB har brutit mot Säkerhetsskyddsavtalet.

Detta avtal har upprättats i två likalydande exemplar varav Parterna har tagit var sitt.

[Leverantör AB] Sjöfartsverket

Ort och datum Ort och datum

Namnteckning Namnteckning

Namnförtydligande Namnförtydligande