Contract

2020-XX-XX TSA 2020-

Ert datum

Säkerhetsskyddsavtal (nivå 2)

Transportstyrelsen, xxx.xx 202100-6099, Xxxx Xxxxxxxxx 00, 000 00 Norrköping, som företräder staten, nedan kallad Myndigheten

och

[Företaget AB], xxx.xx [222222-2222], [Betagatan 2], [222 22] [Staden], nedan kallat Företaget träffar följande avtal om säkerhetsskydd.

1. Bakgrund

Myndigheten och Företaget avser att ingå ett avtal/har ingått ett avtal avseende projektet [projektnamn, diarienummer motsvarande], nedan kallat Uppdraget.

Uppdraget

Uppdraget specificeras i dokumentet [Namn,Diarienummer på relevanta avtal eller t.ex. anbudsunderlag i de fall ett avtal inte har tecknats ännu.]

Uppdraget innebär att Företaget i Myndighetens lokaler eller av Myndigheten anvisade områden eller lokaler kommer att hantera och förvara Hemliga uppgifter. Säkerhetsskyddet ska förebygga

a) att Hemliga uppgifter obehörigen röjs, ändras, görs otillgängliga för behöriga eller förstörs (informationssäkerhet)

b) att obehöriga får tillgång till Hemliga uppgifter eller verksamhet som har betydelse för rikets säkerhet (tillträdesbegränsning)

c) att personer som inte är pålitliga från säkerhetssynpunkt deltar i verksamhet som har betydelse för rikets säkerhet (säkerhetsprövning).

Andra säkerhetsskyddsåtgärder är utbildning och kontroll.

Detta avtal avser säkerhetsskydd för uppgifter som på Myndigheten omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400) och som rör rikets säkerhet. En sådan uppgift benämns fortsättningsvis Hemlig uppgift. En Hemlig uppgift kan framgå av en handling, ett visst förhållande, en anläggning eller föremål av olika slag.

2. Avtalets omfattning

Detta säkerhetsskyddsavtal tillsammans med Företagets säkerhetsskyddsinstruktion reglerar vilka säkerhetsskyddsåtgärder som Företaget ska vidta i samband med Uppdraget.

De ekonomiska villkoren avseende Uppdraget regleras i ett kontrakt, nedan kallat

Affärsavtalet.

Detta säkerhetsskyddsavtal är en förutsättning men utgör ingen utfästelse eller garanti för att Myndigheten ska teckna Affärsavtal med Företaget (Ta bort om affärsavtal redan tecknats).

Om det förekommer motstridiga uppgifter avseende säkerhetsområdet i Affärsavtalet gäller detta säkerhetsskyddsavtal framför Affärsavtalet. Motsvarande skrivning ska även tas in i Affärsavtalet.

Företaget får endast använda underleverantörer som har tecknat säkerhetsskyddsavtal med Myndigheten.

Avtalshandlingar

Detta dokument är avtalets huvuddokument. Till avtalshandlingarna hör även följande bilagor:

Bilaga 1. Kontaktuppgifter/Säkerhetsorganisation

3. Säkerhetsskyddsorganisation

Det ska finnas en säkerhetsskyddschef och en ställföreträdande säkerhetsskyddschef på Företaget.

Säkerhetsskyddschefen ska i Uppdragets säkerhetsskyddsfrågor vara direkt underställd Företagets ledning. Säkerhetsskyddschefen leder säkerhetsskyddsverksamheten inom Företaget och är kontaktperson i säkerhetsskyddsfrågor gentemot Myndigheten.

På Företaget ska det även finnas en systemsäkerhetsansvarig för IT-system som är avsedda för behandling av Hemliga uppgifter.

Behöriga kontaktpersoner enligt detta avtal framgår av bilaga 1 Vardera parten ska utan dröjsmål skriftligen underrätta den andre parten om kontaktperson byts ut.

4. Säkerhetsskyddsåtgärder

Företaget ska upprätta en säkerhetsskyddsinstruktion när säkerhetsskyddsavtalet har undertecknats eller enligt överenskommelse.

Säkerhetsskyddsinstruktionen inklusive eventuella förändringar eller tillägg i säkerhetsskyddsinstruktionen ska godkännas av Myndigheten.

Företaget ska dokumentera de säkerhetsskyddsåtgärder som har vidtagits i Uppdraget.

5. Behörighet

Hemliga uppgifter får endast delges personer som har säkerhetsprövats och godkänts av Myndigheten vilket innebär att behöriga att ta del av Hemliga uppgifter endast är personer som

a) Bedöms pålitliga från säkerhetssynpunkt

b) Har tillräckliga kunskaper om säkerhetsskydd

c) Behöver uppgifterna för sitt uppdrag eller arbete i den verksamhet där de Hemliga uppgifterna förekommer.

6. Informationssäkerhet

Myndigheten ska klargöra för Företaget i vilken utsträckning handlingar med mera som överlämnas till Företaget innehåller Hemliga uppgifter.

Om Hemliga uppgifter uppkommer under Uppdragets utförande på Företaget, ska Företaget vidta de säkerhetsskyddsåtgärder som är nödvändiga. Företaget ska utan dröjsmål meddela Myndigheten om Hemliga uppgifter har uppkommit samt vilka säkerhetsskyddsåtgärder som har vidtagits.

Myndigheten ska alltid godkänna utrymmen som används vid hantering och förvaring av Hemliga uppgifter.

Hemliga uppgifter får endast hanteras i IT-system som har godkänts för sådan hantering av Myndigheten.

Företaget bör klargöra för Myndigheten i vilken utsträckning uppgifter avseende affärs- eller driftsförhållanden som överlämnas till Myndigheten är att anse som hemliga, samt varför Företaget kan komma att lida skada om dessa röjs (enligt offentlighets- och sekretesslagen [2009:400]). Företaget är dock medvetet om att Myndigheten ändå kan vara skyldig att lämna ut sådana uppgifter.

Företaget får inte utan Myndighetens tillstånd lämna uppgifter till massmedia som rör Uppdraget och som enligt Myndigheten innehåller Hemlig uppgift. Detsamma gäller för publicering i broschyrer, tidskrifter, böcker, filmer etc., samt vid föredrag, utställningar och förevisningar dit personer som inte är behöriga (punkt 5) har tillträde. Företaget får inte utan Myndighetens tillstånd offentliggöra att det träffat ett säkerhetsskyddsavtal.

Denna information får därmed inte användas i marknadsföring eller på annat sätt.

7. Tillträdesbegränsning

Myndighetens bestämmelser om tillträdesbegränsning gäller för Företagets personal som ska delta i Uppdraget.

Företaget får inte utan Myndighetens godkännande byta eller använda andra lokaler, områden eller motsvarande för Uppdragets genomförande.

Endast behöriga personer som har godkänts av Myndigheten får ha tillträde till de lokaler, områden eller motsvarande där Uppdraget genomförs. Det åligger Företagets personal att följa Myndighetens tillträdesbestämmelser.

8. Säkerhetsprövning

Innan en person får del av Hemliga uppgifter ska Företaget genom säkerhetsprövning pröva vederbörandes lojalitet och pålitlighet från säkerhetssynpunkt. Säkerhetsprövningen ska omfatta varje person som får del av Hemliga uppgifter, oavsett om de blir föremål för registerkontroll enligt säkerhetsskyddslagen (1996:627) eller inte.

Säkerhetsprövningen ska omfatta en personbedömning samt inhämtande av betyg, intyg och referenser. Är befattningen placerad i säkerhetsklass ska säkerhetsprövningen även omfatta registerkontroll och i vissa fall särskild personutredning.

Säkerhetsprövningen och säkerhetsskyddsutbildningen ska dokumenteras av Företaget. Fullständig dokumentation över genomförd säkerhetsprövning inklusive prövningsmetodik överlämnas till Myndighetens säkerhetsskyddschef.

Tillsammans med uppgifter som har framkommit vid registerkontroll och särskild personutredning utgör säkerhetsprövningen underlag för Myndighetens beslut om att personen får användas inom ramen för Uppdraget. Företaget får inte anlita personen innan Företaget har fått del av Myndighetens beslut.

Innan en ansökan om registerkontroll skickas till Myndigheten ska Företaget särskilt informera den person som ska bli föremål för registerkontroll om vad kontrollen innebär. Företaget ska i samband med detta också inhämta personens samtycke till kontrollen.

Samtycket ska dokumenteras och förvaras på Företaget med kopia hos Myndigheten tillsammans med kopia av till säkerhetspolisen inskickad ansökan om registerkontroll.

Företaget ska utan dröjsmål anmäla till Myndigheten om en registerkontrollerad person på Företaget lämnar Uppdraget. Myndigheten ska utan dröjsmål anmäla till Säkerhetspolisen att personen har lämnat Uppdraget.

Företaget ska till Myndigheten anmäla omständigheter som kan vara av betydelse för bedömningen av en säkerhetsprövad persons lämplighet och pålitlighet.

Om en person som har säkerhetsprövats inom ramen för detta säkerhetsskyddsavtal under Uppdragets genomförande befinns olämplig från säkerhetssynpunkt, ska Företaget vidta de åtgärder som är lämpliga för att vederbörande inte ska få tillgång till Hemliga uppgifter eller tillträde till lokaler, områden eller motsvarande där säkerhetskänslig verksamhet bedrivs.

9. Intern utbildning och kontroll

Myndigheten ska innan Uppdraget påbörjas ge lämplig utbildning i säkerhetsskyddsfrågor till Företagets säkerhetsskyddsorganisation. Företaget ska utbilda de personer som kan komma att få del av Hemliga uppgifter eller tillträde till lokaler, områden eller motsvarande där säkerhetskänslig verksamhet bedrivs. Myndigheten ska bistå med utbildningsmaterial och rådgivning till Företagets säkerhetsskyddsorganisation. Säkerhetsskyddsutbildade och säkerhetsprövade personer ska vara namngivna i den dokumentation avseende säkerhetsprövning som anges i kapitel 8. Företaget ansvarar för dokumentationen.

Därefter ansvarar Företaget för att dessa personer ges behövlig och fortlöpande utbildning. Utbildningen ska bland annat behandla:

a) Hot och risker som från säkerhetssynpunkt föreligger mot eller är förknippade med Uppdraget

b) Säkerhetsskyddsåtgärder som enligt Företagets säkerhetsskyddsinstruktion ska vidtas mot föreliggande hot och risker.

Myndigheten kan vid behov och efter särskild framställan medverka i viss utbildning som Företaget ger.

Företaget ska fortlöpande kontrollera att endast behöriga personer som har godkänts av Myndigheten anlitas och att säkerhetsskyddet avseende informationssäkerhet och tillträdesbegränsning iakttas, samt att skyddsnivån är jämn och tillräckligt hög.

Företaget ska omedelbart underrätta Myndigheten om inträffade eller befarade händelser och omständigheter som kan påverka säkerhetsskyddet vad avser Uppdraget och personer som faller under detta avtal.

10. Tillsyn

Myndigheten har rätt att kontrollera att de i säkerhetsskyddsinstruktionen redovisade och avtalade säkerhetsskyddsbestämmelserna följs. Vid en sådan tillsyn kan Myndigheten biträdas av en representant från Säkerhetspolisen och/eller Försvarsmakten. Tillsynen ska ske under Företagets ordinarie kontorstid eller på plats och tid enligt särskild överenskommelse.

Tillsynen får inte vara mer ingripande för Företaget än vad som är nödvändigt.

11. Kostnader

Företaget ska bära eventuella kostnader som uppkommer med anledning av detta säkerhetsskyddsavtal om inget annat avtalas i Affärsavtalet.

12. Övrigt

Hemliga uppgifter som har tillförts eller uppkommit under Uppdragets genomförande ska även efter att avtalet har upphört, eller till dess att Myndigheten meddelar något annat, omfattas av tystnadsplikt.

Företaget ska informera berörd personal om innebörden av tystnadsplikten och säkerhetsskyddet samt se till att personalen undertecknar sekretessförbindelser. Dessa förvaras på Företaget så länge Uppdraget pågår. När Uppdraget är slutfört lämnas sekretessförbindelserna till Myndigheten.

Företaget ska utan dröjsmål anmäla till Myndigheten när någon förändring sker beträffande firma, organisationsnummer, styrelse, verkställande direktör, revisor, post- och besöksadress eller telefonnummer. Avser ändringen firma, organisationsnummer, styrelse, verkställande direktör eller revisor ska ett nytt registreringsbevis bifogas anmälan. En anmälan ska också göras om ägarförhållandena ändras, om Företaget råkar i ekonomiska svårigheter eller försätts i konkurs.

Samtliga handlingar, materiel eller övrigt som innehåller Hemliga uppgifter och som har anknytning till Uppdraget är Myndighetens egendom, om det inte särskilt framgår av Affärsavtalet eller i detta avtal att parternas uttryckliga syfte är att äganderätten till de Hemliga uppgifterna ska tillfalla annan än Myndigheten. Dessa handlingar eller dylikt ska senast i samband med fullgjort Uppdrag återlämnas till Myndigheten eller vid den tidpunkt som parterna särskilt har kommit överens om.

Detta säkerhetsskyddsavtal träder i kraft vid undertecknandet och gäller tills vidare eller till dess det skriftligen sägs upp av endera parten. Avtalet kan dock inte ensidigt sägas upp till en tidigare tidpunkt än den dag då Uppdraget har slutförts eller alla Hemliga uppgifter har återlämnats till Myndigheten.

Myndigheten kan dock ensidigt säga upp detta avtal liksom Affärsavtalet med omedelbar verkan om Företaget frångår detta avtal.

Detta avtal har upprättats i två likalydande exemplar varav parterna har tagit var sitt.

Ort datum Ort datum

För Transportstyrelsen För [FÖRET AGET AB]

…………………………………… ……………………………………

Xxxxx Xxxxxxxxxxxx, Generaldirektör Namn Befattning:…………………………………

…………………………………… Namnförtydligande