Säkerhetsskyddsavtal
Säkerhetsskyddsavtal
Nivå 1
1 PARTER
[VERKSAMHETSUTÖVARE], organisationsnummer XXXXXX-XXXX [ADRESS]
[POST NR ORT]
Nedan kallad ”Verksamhetsutövaren”.
[LEVERANTÖR], organisationsnummer XXXXXX-XXXX Nedan kallad ”Leverantören”.
[ADRESS] [POST NR ORT]
har det datum som anges nedan ingått detta säkerhetsskyddsavtal (”Säkerhetsskyddsavtalet”)
2 INLEDNING
2.1 Uppdraget rör säkerhetskänslig verksamhet
[Alternativ 1 för offentliga Verksamhetsutövare]
[Verksamhetsutövaren avser att genomföra en upphandling och kommer därigenom tillhandahålla upphandlingsdokument till Leverantören. I upphandlingsdokumenten förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre.]
Verksamhetsutövaren avser att ingå ett kontrakt avseende [varor] [tjänster] [byggentreprenader] med Leverantören med benämningen [projektnamn] (nedan kallat ”Kontraktet”). Leverantörens prestationer enligt Kontraktet kallas Uppdraget.
[Alternativ 2 för enskilda Verksamhetsutövare]
[Verksamhetsutövaren avser att genomföra ett inköp och kommer därigenom tillhandahålla inköpsdokument till Leverantören. I inköpsdokumenten förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre.]
Verksamhetsutövaren avser att ingå ett kontrakt avseende [varor] [tjänster] [byggentreprenader] med Leverantören med benämningen [projektnamn] (nedan kallat ”Kontraktet ”). Leverantörens prestationer enligt Kontraktet kallas Uppdraget.
[I upphandlingen/inköpet förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre. Leverantören kommer därigenom att utanför Verksamhetsutövarens lokaler eller utrymmen få tillgång till eller möjlighet att förvara sådana uppgifter.]
[Leverantören kommer att utanför Verksamhetsutövarens lokaler eller utrymmen få tillgång till säkerhetskänslig verksamhet där åtkomst till verksamheten kan medföra en inte obetydlig skada för Sveriges säkerhet.]
Mot ovanstående bakgrund ska Parterna ingå detta Säkerhetsskyddsavtal. Säkerhetsskyddsavtalet är ett villkor för Kontraktets giltighet men utgör ingen garanti för att Verksamhetsutövaren ska teckna Kontraktet med Leverantören.
2.2 Säkerhetskänslig verksamhet, säkerhetsskydd och säkerhetsskyddsklassificerade uppgifter
Verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktigande internationellt åtagande om säkerhetsskydd utgör säkerhetskänslig verksamhet. Med säkerhetsskydd avses skydd av säkerkänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter.
Med säkerhetsskyddsklassificerade uppgifter avses uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400) eller som skulle ha omfattats av sekretess enligt den lagen, om den hade varit tillämplig.
3 Avtalets syfte, omfattning samt begrepp
Detta Säkerhetsskyddsavtal inklusive bilagor reglerar vilka säkerhetsskyddskrav och säkerhetsskyddsåtgärder som Leverantören ska uppfylla och vidta [vid utförande av Uppdraget] [för att ta del av upphandlingsdokumenten/inköpsdokumenten].
Avtalet utgör en grund för att besluta om vilka anställningar och annat deltagande hos Leverantören som ska placeras i säkerhetsklass.
Vid motstridiga uppgifter i Säkerhetsskyddsavtalet och i Kontraktet och har Säkerhetsskyddsavtalet företräde.
Om Leverantörens verksamhet omfattas av säkerhetsskyddslagen (2018:585) kan säkerhetsskyddskraven inte göras mindre långtgående i detta Säkerhetsskyddsavtal.
Ord och uttryck i säkerhetsskyddsavtalet inklusive bilagor har samma innebörd som i säkerhetsskyddslagen (2018:585), säkerhetsskyddsförordningen (2018:658) och Säkerhetspolisens föreskrifter om säkerhetsskydd, PMFS 2019:2 om inte annat särskilt anges.
4 Anmälan av säkerhetsskyddsavtal
När detta Säkerhetsskyddsavtal har ingåtts ska Verksamhetsutövaren anmäla det till Säkerhetspolisen.
Om Verksamhetsutövaren är enskild och den avser att ingå ett säkerhetsskyddsavtal ska den utan dröjsmål anmäla det till den tillsynsmyndighet som anges i 7 kap. 1 § första stycket 3-6 säkerhetsskyddsförordningen (2018:658). Sådan anmälan ersätter inte den anmälan som ska göras enligt första stycket.
5 Underleverantörer
Leverantören får inte anlita underleverantörer för fullgörande av Uppdraget utan Verksamhetsutövarens godkännande. Leverantören får endast anlita underleverantörer för fullgörande av Uppdraget som har ingått säkerhetsskyddsavtal med Verksamhetsutövaren.
6 Säkerhetsskyddsorganisation
Det ska finnas en säkerhetsskyddschef hos Leverantören som kontrollerar att verksamheten bedrivs i enlighet med detta Säkerhetsskyddsavtal samt fungerar som kontaktperson i säkerhetsskyddsfrågor mot Verksamhetsutövaren.
Säkerhetsskyddschefen ska ingå eller vara direkt underställd Leverantörens ledning. Kravet på säkerhetsskyddschef innebär inte krav på en självständig befattning utan kan innehas av någon som har andra arbetsuppgifter.
7 Säkerhetsskyddsinstruktion
När ett säkerhetsskyddsavtal har ingåtts i nivå 1 ska Leverantören dokumentera i en säkerhetsskyddsinstruktion hur denne uppfyller kravet på säkerhetsskydd enligt avtalet. Lägst säkerhetsskyddschefen hos Verksamhetsutövaren ska godkänna säkerhetsskyddsinstruktionen.
8 Behandling av säkerhetsskyddsklassificerade uppgifter
8.1 Grundläggande bestämmelse
Säkerhetsskyddsklassificerade uppgifter i en viss säkerhetsskyddsklass och som omfattas av detta Säkerhetsskyddsavtal får endast behandlas i informationssystem eller på lagringsmedium som Verksamhetsutövaren har godkänt för lägst den säkerhetsskyddsklass som uppgifterna har.
8.2 Anteckning om säkerhetsskyddsklass, m.m.
Verksamhetsutövaren ska förse en säkerhetsskyddsklassificerad handling med en anteckning om vilken säkerhetsskyddsklass uppgifterna i handlingen har. Innan Verksamhetsutövaren överför säkerhetsskyddsklassificerade uppgifter till Leverantören ska denne uppmärksammas på säkerhetsskyddsklassificeringen.
Om Leverantören upprättar en säkerhetsskyddsklassificerad handling åligger det Leverantören att förse handlingen med sådan anteckning som anges i första
stycket. Leverantören ska vid behov samråda med Verksamhetsutövaren om vilken säkerhetsskyddsklass som ska antecknas på handlingen.
8.3 Förvaring
Verksamhetsutövaren ska godkänna förvaringsutrymmen hos Leverantören som används vid hantering och förvaring av säkerhetsskyddsklassificerade uppgifter. Säkerheten ska motsvaras av den skyddsnivå som skyddsdimensioneringen kräver.
8.4 Märkning av lagringsmedium
Om Leverantören behandlar säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre på lagringsmedium ska de märkas med säkerhetsskyddsklass och identifieringsuppgift. Om lagringsmediet är fast monterat i annan utrustning ska i stället utrustningen märkas.
8.5 Övriga bestämmelser
Parterna ska i övrigt träffa en särskild överenskommelse om vilka bestämmelser i avsnitt 3, Behandling av säkerhetsskyddsklassificerade uppgifter och handlingar, m.m., i Säkerhetspolisens föreskrifter om säkerhetsskydd PMFS 2019:2 som med vederbörliga ändringar ska tillämpas mellan Parterna. Överenskommelsen ska biläggas detta Säkerhetsskyddsavtal. [Vid utformningen av en sådan överenskommelse ska Verksamhetsutövaren även beakta säkerhetsskyddsåtgärderna i säkerhetsplanen.]
9 Informationssäkerhet i informationssystem
Med ”informationssystem” i denna bestämmelse avses Leverantörens informationssystem som har betydelse för Verksamhetsutövarens säkerhetskänsliga verksamhet om inte annat särskilt anges. [Om Uppdraget ger Leverantören tillgång till Verksamhetsutövarens säkerhetskänsliga informationssystem behöver det särskilt anges tillsammans med vilka krav som ska gälla.]
Leverantören får inte ta ett informationssystem i drift förrän Verksamhetsutövaren har godkänt det från säkerhetsskyddssynpunkt. Godkännandet ska dokumenteras.
Leverantören ska möjliggöra för Verksamhetsutövaren att genomföra tester av säkerhetsskyddsåtgärder innan ett informationssystem tas i drift. Leverantören ska medverka vid sådana tester och ska ställa tillräckliga resurser och relevant kompetens till förfogande. Om testerna resulterar i avvikelser från säkerhetskraven som gäller för informationssystemet ska Leverantören vidta kompensatoriska åtgärder i samråd med Verksamhetsutövaren.
Parterna ska i övrigt träffa en särskild överenskommelse om vilka bestämmelser i avsnitt 4, Informationssäkerhet för informationssystem, i Säkerhetspolisens föreskrifter om säkerhetsskydd PMFS 2019:2 som med vederbörliga ändringar ska tillämpas mellan Parterna. Överenskommelsen ska biläggas detta Säkerhetsskyddsavtal. [Vid utformningen av en sådan överenskommelse ska Verksamhetsutövaren även beakta säkerhetsskyddsåtgärderna i säkerhetsplanen.]
10 Fysisk säkerhet
Verksamhetsutövaren ska i samråd med Leverantören säkerställa att områden, byggnader och andra anläggningar eller objekt där säkerhetsskyddsklassificerade uppgifter förvaras eller annars behandlas, eller där säkerhetskänslig verksamhet i övrigt bedrivs, är försedda med funktioner för att upptäcka, försvåra och hantera obehörigt tillträde och skadlig inverkan utifrån ett identifierat säkerhetsskyddsbehov. Detta ska ske innan Leverantören får del av säkerhetsskyddsklassificerade uppgifter eller den säkerhetskänsliga verksamheten påbörjas.
Leverantören får inte utan Verksamhetsutövarens skriftliga godkännande byta eller använda andra lokaler eller utrymmen för Uppdragets genomförande.
Leverantören ska ha ett passersystem för identifiering eller behörighetskontroll för åtkomst till lokaler eller utrymmen där det kan ges tillgång till säkerhetskänslig verksamhet. Systemet ska omges av säkerhetsskyddsåtgärder som motsvarar vald skyddsdimensionering.
Leverantören ska kontrollera att alla personer som ska få tillträde till en lokal eller annat utrymme där säkerhetskänslig verksamhet bedrivs, har behörighet till det. Om Verksamhetsutövaren begär det, ska Leverantören utfärda skriftligt tillstånd för besökare som ska få tillträde till en lokal eller annat utrymme där säkerhetskänslig verksamhet bedrivs.
Kort, koder och nycklar som ger åtkomst till lokaler eller utrymmen där det kan ges tillgång till säkerhetskänslig verksamhet ska förvaras så att någon obehörig inte kan få tillgång till dem. Leverantören ska också ha en förteckning över kort, koder, nycklar eller liknande som hör till lokaler eller utrymmen där det kan ges tillgång till säkerhetskänslig verksamhet. Av förteckningen ska det framgå till vem och när kort, kod, nyckel eller liknande har lämnats och var reservkod eller reservnyckel förvaras. Det ska vidare framgå när återlämnande skett.
11 Personalsäkerhet
11.1 Behörighet att delta i säkerhetskänslig verksamhet
Säkerhetsskyddsklassificerade uppgifter får endast delges personer som har säkerhetsprövats och, om deltagandet har placerats i säkerhetsklass, registerkontrollerats samt godkänts av Verksamhetsutövaren.
Verksamhetsutövaren bestämmer vem samt i vilken omfattning som denne får användas i Uppdraget.
Behörig att ta del av säkerhetsskyddsklassificerade uppgifter eller i övrigt delta i säkerhetskänslig verksamhet är endast den som:
1. har bedömts pålitlig från säkerhetssynpunkt,
2. har tillräckliga kunskaper om säkerhetsskydd, och
3. behöver uppgifterna eller annan tillgång till verksamheten för att kunna utföra sitt arbete eller på annat sätt delta i den säkerhetskänsliga verksamheten.
11.2 Säkerhetsprövning
Innan en person får delta i säkerhetskänslig verksamhet ska Leverantören genom säkerhetsprövning pröva personens lojalitet och pålitlighet från säkerhetssynpunkt. Säkerhetsprövningen ska omfatta varje person som ska delta i säkerhetskänslig verksamhet oavsett om registerkontroll förekommer eller inte.
11.2.2 Ansvar för säkerhetsprövningen
Leverantören ansvarar för att säkerhetsprövningen genomförs om inte Verksamhetsutövaren meddelar annat. Verksamhetsutövaren har alltid rätt att göra den slutliga bedömningen om den kontrollerade ska få delta i den säkerhetskänsliga verksamheten.
11.2.3 Säkerhetsprövningens innehåll
Säkerhetsprövningen ska innefatta en grundutredning om personliga förhållanden av betydelse från säkerhetssynpunkt. Utredningen ska åtminstone bestå av betyg, intyg och referenser samt att uppgifter från den som kontrollen avser inhämtas genom en intervju. Vid behov ska en identitetskontroll göras. Om deltagandet är placerat i säkerhetsklass ska en registerkontroll göras. Om deltagandet är placerat i säkerhetsklass 1 eller 2 ska en särskild personutredning göras om den kontrollerades ekonomiska förhållanden. Utredningen innefattar även en kontroll av medkontrollerad, det vill säga den kontrollerades make, maka eller sambo. En grundutredning kan behöva kompletteras om uppgifter lämnas ut efter registerkontroll.
Innan en framställan om registerkontroll skickas till Verksamhetsutövaren ska Leverantören särskilt informera den kontrollerade om vad kontrollen innebär. Leverantören ska i samband med det inhämta den kontrollerades skriftliga samtycke till kontrollen. Det dokumenterade samtycket ska förvaras hos Verksamhetsutövaren. Samtycket omfattar eventuella nya kontroller under den tid som deltagandet i den säkerhetskänsliga verksamheten pågår.
11.2.5 Anmälan om den kontrollerade slutar
Leverantören ska genast anmäla till Verksamhetsutövaren om en registerkontrollerad person hos Leverantören lämnar Uppdraget. Verksamhetsutövaren ska genast anmäla till Säkerhetspolisen att personen har lämnat Uppdraget.
11.2.6 Anmäla sårbarheter i säkerhetshänseende
Leverantören ska till Verksamhetsutövaren anmäla inträffade eller befarade händelser eller omständigheter som kan vara av betydelse för den kontrollerades lämplighet och pålitlighet från säkerhetssynpunkt.
11.2.7 Förbud mot fortsatt deltagande i säkerhetskänslig verksamhet
Om den kontrollerade under Uppdragets genomförande bedöms olämplig från säkerhetssynpunkt, ska Leverantören genast vidta de åtgärder som är lämpliga för att vederbörande inte ska fortsätta sitt deltagande i den säkerhetskänsliga verksamheten. Verksamhetsutövaren har alltid rätt att göra den slutliga bedömningen om den kontrollerades lämplighet och begära att Leverantören omedelbart stänger av den kontrollerade från fortsatt deltagande i den säkerhetskänsliga verksamheten.
11.2.8 Utbildning i säkerhetsskydd
Verksamhetsutövaren ska innan Uppdraget påbörjas tillse att tillräcklig utbildning i säkerhetsskydd ges till de personer hos Leverantören som deltar i den säkerhetskänsliga verksamheten. Behovet av utbildning ska följas upp under den tid deltagandet i den säkerhetskänsliga verksamheten pågår.
Därefter ansvarar Leverantören för att ovannämnda personer ges tillräcklig utbildning fortlöpande.
Utbildningen ska minst innehålla:
• Hot och sårbarheter som från säkerhetssynpunkt föreligger mot eller är förknippade med Uppdraget.
• Säkerhetsskyddsåtgärder som enligt Leverantörens säkerhetsskyddsinstruktion ska vidtas mot föreliggande hot och sårbarheter.
12 Leverantörens kontroll
Leverantören ska fortlöpande kontrollera att endast behöriga personer som har godkänts av Verksamhetsutövaren anlitas i Uppdraget.
Leverantören ska fortlöpande kontrollera att säkerhetsskyddet avseende informationssäkerhet och fysisk säkerhet upprätthålls samt att skyddsnivån är jämn och tillräckligt hög.
Leverantören ska till Verksamhetsutövaren anmäla inträffade eller befarade händelser eller omständigheter som kan vara av betydelse ur säkerhetssynpunkt.
13 Verksamhetsutövarens kontroll över säkerhetsskyddet
Verksamhetsutövaren äger alltid rätt att kontrollera att Leverantören uppfyller Säkerhetsskyddsavtalet.
Vid en sådan kontroll får Verksamhetsutövaren biträdas av representanter från andra myndigheter.
Kontrollen får inte vara mer ingripande än nödvändigt.
14 Anmälan vid säkerhetshotande händelser och verksamhet
Leverantören ska skyndsamt anmäla till Verksamhetsutövaren om en säkerhetsskyddsklassificerad uppgift kan ha röjts, om det inträffat en it-incident i ett informationssystem som Leverantören är ansvarig för och som har betydelse för säkerhetskänslig verksamhet och där incidenten allvarligt kan påverka säkerheten i systemet, eller om Leverantören får kännedom eller misstanke om någon annan för denne allvarlig säkerhetshotande verksamhet.
15 Kostnader
Leverantören ska bära eventuella kostnader som uppkommer med anledning av detta Säkerhetsskyddsavtal om inte något annat avtalas.
16 Åtagande om sekretess och erinran om lagstadgad tystnadsplikt
16.1 Åtagande om sekretess
I Uppdraget kan Leverantören få del av uppgifter som omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400).
Leverantören åtar sig att inte obehörigen röja eller utnyttja uppgifter som omfattas av sekretess.
Leverantören åtar sig att informera och tillse att varje person hos Leverantören som är säkerhetsprövad enligt detta Säkerhetsskyddsavtal följer denna bestämmelse.
16.2 Erinran om lagstadgad tystnadsplikt för säkerhetsskyddsklassificerade uppgifter
Den som deltar i säkerhetskänslig verksamhet får inte obehörigen röja eller utnyttja säkerhetsskyddsklassificerade uppgifter. Varje person hos Leverantören som är säkerhetsprövad enligt detta Säkerhetsskyddsavtal ska underteckna en erinran om tystnadsplikt. Xxxxxxx om tystnadsplikt ska förvaras hos Verksamhetsutövaren.
17 Ändrade förhållanden och revidering
Leverantören ska utan dröjsmål anmäla till Verksamhetsutövaren när någon förändring sker beträffande firma, organisationsnummer, styrelse, verkställande direktör, revisor, post- och besöksadress eller telefonnummer. Om ändringen avser uppgifter som registreras hos Bolagsverket eller motsvarande ska ett nytt registreringsbevis bifogas anmälan. En anmälan ska också göras om ägarförhållandena ändras, om Leverantören ställer in betalningar, begärs eller försätts i konkurs, inleder ackordsförhandlingar eller kan antas ha kommit på obestånd.
Verksamhetsutövaren har rätt att revidera Säkerhetsskyddsavtalet om det krävs på grund av ändrade förhållanden, som förutom sådana omständigheter som avses i första stycket kan avse ändrade förhållanden i omvärlden som föranleder andra säkerhetsskyddsåtgärder än vad som följer av Säkerhetsskyddsavtalet eller att kraven på säkerhetsskydd förändrats.
18 Åtgärder när Säkerhetsskyddsavtalet upphör att gälla
När detta Säkerhetsskyddsavtal har upphört ska Verksamhetsutövaren upplysa Leverantören om den tystnadsplikt som följer av 5 kap. 2 § säkerhetsskyddslagen (2018:585).
Samtliga handlingar, materiel eller övrigt som innehåller säkerhetsskyddsklassificerade uppgifter och som har anknytning till Uppdraget är Verksamhetsutövarens egendom om inget annat har avtalats. Dessa handlingar eller dylikt ska senast i samband med att detta Säkerhetsskyddsavtal upphör att gälla återlämnas till Verksamhetsutövaren eller vid den tidpunkt som Parterna särskilt kommer överens om.
När detta Säkerhetsskyddsavtal har upphört ska Verksamhetsutövaren skyndsamt avanmäla det till Säkerhetspolisen inklusive de registerkontroller som hör till avtalet.
19 Ikraftträdande och uppsägning
Detta Säkerhetsskyddsavtal träder i kraft vid det datum båda Parter har undertecknat det och gäller tills vidare till dess det skriftligen sägs upp av någon av Parterna. Leverantören kan dock inte ensidigt säga upp Säkerhetsskyddsavtalet till en tidigare tidpunkt än den dag då Uppdraget har slutförts och alla säkerhetsskyddsklassificerade uppgifter har återlämnats till Verksamhetsutövaren.
Verksamhetsutövaren kan ensidigt säga upp detta Säkerhetsskyddsavtal liksom Kontraktet med omedelbar verkan om Leverantören har brutit mot Säkerhetsskyddsavtalet.
Bilaga:
1. Särskild överenskommelse om Behandling av säkerhetsskyddsklassificerade uppgifter och handlingar, m.m.
2. Särskild överenskommelse om Informationssäkerhet i informationssystem