Mall säkerhetsskyddsavtal (nivå 3)
Bilaga C
Mall säkerhetsskyddsavtal (nivå 3)
[Myndigheten], xxx.xx [111111-1111], [Alfagatan 1], [111 11] [Stockholm], som företräder staten, nedan kallad Myndigheten
och
[Företaget AB], xxx.xx [222222-2222], [Betagatan 2], [222 22] [Stockholm], nedan kallat Företaget träffar följande avtal om säkerhetsskydd.
1. Bakgrund
Myndigheten och Företaget avser att ingå ett avtal avseende alternativt Företaget ska få del av förfrågningsunderlag [diarienummer eller liknande] angående projektet [projektnamn], nedan kallat Uppdraget.
[Beskrivning av Uppdraget]
Uppdraget innebär att Företaget i Myndighetens lokaler eller av Myndigheten anvisade områ- den eller lokaler kan få del av hemliga uppgifter.
Säkerhetsskyddet ska förebygga a) att hemliga uppgifter obehörigen röjs, ändras, görs otill- gängliga för behöriga eller förstörs (informationssäkerhet), b) att obehöriga får tillgång till hemliga uppgifter eller verksamhet som har betydelse för rikets säkerhet (tillträdesbegräns- ning), och c) att personer som inte är pålitliga från säkerhetssynpunkt deltar i verksamhet som har betydelse för rikets säkerhet (säkerhetsprövning). Andra säkerhetsskyddsåtgärder är utbildning och kontroll.
Detta avtal avser säkerhetsskydd för uppgifter som på Myndigheten omfattas av sekretess en- ligt offentlighets- och sekretesslagen (2009:400) och som rör rikets säkerhet. En sådan uppgift benämns fortsättningsvis hemlig uppgift. En hemlig uppgift kan framgå av en handling, ett visst förhållande, en anläggning eller föremål av olika slag.
2. Avtalets omfattning
Detta avtal tillsammans med Företagets säkerhetsskyddsinstruktion (om en sådan har upprät- tats) reglerar vilka säkerhetsskyddsåtgärder som Företaget ska vidta i samband med Uppdraget.
De ekonomiska villkoren avseende Uppdraget regleras i ett kontrakt, nedan kallat Affärsavtalet.
Detta säkerhetsskyddsavtal är en förutsättning för men utgör ingen utfästelse eller garanti för att Myndigheten ska teckna Affärsavtal med Företaget om Uppdraget.
Om det förekommer motstridiga uppgifter i Affärsavtalet gäller detta säkerhetsskyddsavtal framför Affärsavtalet. Motsvarande skrivning ska även tas in i Affärsavtalet.
Företaget får endast använda underleverantörer som har tecknat säkerhetsskyddsavtal med Myndigheten.
3. säkerhetsskyddsorganisation
Det ska finnas en säkerhetsskyddschef och en ställföreträdande säkerhetsskyddschef på Före- taget. Säkerhetsskyddschefen ska i Uppdragets säkerhetsskyddsfrågor vara direkt underställd Företagets ledning. Säkerhetsskyddschefen leder säkerhetsskyddsverksamheten inom Företaget och är kontaktperson i säkerhetsskyddsfrågor gentemot Myndigheten. På Företaget ska det även finnas en systemsäkerhetsansvarig för IT-system som är avsedda för behandling av hem- liga uppgifter.
4. säkerhetsskyddsåtgärder
Företaget ska upprätta en säkerhetsskyddsinstruktion när ett säkerhetsskyddsavtal har träffats.
Eventuella förändringar eller tillägg i säkerhetsskyddsinstruktionen ska godkännas av Myn- digheten.
Företaget ska dokumentera de säkerhetsskyddsåtgärder som har vidtagits i Uppdraget.
5. Behörighet
Behöriga att ta del av hemliga uppgifter är endast personer som
• Bedöms pålitliga från säkerhetssynpunkt
• Har tillräckliga kunskaper om säkerhetsskydd
• Behöver uppgifterna för sitt uppdrag eller arbete i den verksamhet där de hemliga uppgif-
terna förekommer.
Hemliga uppgifter får endast delges personer som har säkerhetsprövats och godkänts av Myndigheten.
6. Informationssäkerhet
Myndigheten ska klargöra för Företaget i vilken utsträckning handlingar med mera som Före- taget kan få del av innehåller hemliga uppgifter.
Om hemliga uppgifter uppkommer under Uppdragets utförande på Företaget, ska Företaget vidta de säkerhetsskyddsåtgärder som är nödvändiga. Företaget ska utan dröjsmål meddela Myndigheten om hemliga uppgifter har uppkommit samt vilka säkerhetsskyddsåtgärder som har vidtagits.
Företaget får endast hantera och förvara hemliga uppgifter i av Myndigheten anvisade och godkända utrymmen. Hemliga uppgifter får inte medföras från Myndigheten eller från av Myndigheten anvisade områden eller lokaler.
Hemliga uppgifter får endast hanteras i IT-system som har godkänts för sådan hantering av Myndigheten. Beträffande hemliga uppgifter i IT-miljö gäller för Uppdraget bestämmelserna i bilaga 1 alternativt Myndighetens IT-säkerhetsbestämmelser.
Företaget bör klargöra för Myndigheten i vilken utsträckning uppgifter avseende affärs- el- ler driftsförhållanden som överlämnas till Myndigheten är att anse som hemliga, samt varför Företaget kan komma att lida skada om dessa röjs (enligt offentlighets- och sekretesslagen
[2009:400]). Företaget är dock medvetet om att Myndigheten ändå kan vara skyldig att lämna ut sådana uppgifter.
Företaget får inte utan Myndighetens tillstånd lämna uppgifter till massmedia som rör Upp- draget och som enligt Myndigheten innehåller hemlig uppgift. Detsamma gäller för publice-
ring i broschyrer, tidskrifter, böcker, filmer etc., samt vid föredrag, utställningar och förevis- ningar dit personer som inte är behöriga (punkt 5) har tillträde.
Företaget får inte utan Myndighetens tillstånd offentliggöra att det träffat ett säkerhetsskydds- avtal. Denna information får därmed inte användas i marknadsföring eller på annat sätt.
7. Tillträdesbegränsning
Myndighetens bestämmelser om tillträdesbegränsning gäller för Företagets personal som ska delta i Uppdraget.
Företaget får inte utan Myndighetens godkännande byta eller använda andra lokaler, områden eller motsvarande för Uppdragets genomförande.
Endast behöriga personer som har godkänts av Myndigheten får ha tillträde till de lokaler, områden eller motsvarande där Uppdraget genomförs. Det åligger Företagets personal att följa Myndighetens tillträdesbestämmelser.
8. säkerhetsprövning
Innan en person får tillträde till lokaler eller områden där han eller hon kan få del av hemliga uppgifter ska Företaget genom säkerhetsprövning pröva vederbörandes lojalitet och pålitlighet från säkerhetssynpunkt. Säkerhetsprövningen ska omfatta varje person som får tillträde till lokaler eller områden där han eller hon kan få del av hemliga uppgifter, oavsett om de blir föremål för registerkontroll enligt säkerhetsskyddslagen (1996:627) eller inte.
Säkerhetsprövningen ska omfatta en personbedömning samt inhämtande av betyg, intyg och referenser. Är befattningen placerad i säkerhetsklass ska säkerhetsprövningen även omfatta registerkontroll och i vissa fall särskild personutredning.
Säkerhetsprövningen ska dokumenteras av Företaget och på begäran lämnas till Myndigheten. Tillsammans med uppgifter som har framkommit vid registerkontroll och särskild person- utredning utgör säkerhetsprövningen underlag för Myndighetens beslut om att personen får anlitas. Företaget får inte anlita personen innan Företaget har fått del av Myndighetens beslut.
Innan en ansökan om registerkontroll skickas till Myndigheten ska Företaget särskilt infor- mera den person som ska bli föremål för registerkontroll om vad kontrollen innebär. Företaget ska i samband med detta också inhämta personens samtycke till kontrollen. Samtycket ska dokumenteras och förvaras på Företaget.
Företaget ska utan dröjsmål anmäla till Myndigheten om en registerkontrollerad person på Företaget lämnar Uppdraget. Myndigheten ska utan dröjsmål anmäla till Säkerhetspolisen att personen har lämnat Uppdraget.
Företaget ska till Myndigheten anmäla omständigheter som kan vara av betydelse för bedöm- ningen av en säkerhetsprövad persons lämplighet och pålitlighet.
Om en person som har säkerhetsprövats inom ramen för detta säkerhetsskyddsavtal under Uppdragets genomförande befinns olämplig från säkerhetssynpunkt, ska Företaget vidta de åtgärder som är lämpliga för att vederbörande inte ska få tillträde till lokaler, områden eller motsvarande där han eller hon kan få tillgång till hemliga uppgifter.
9. Intern utbildning och kontroll
Myndigheten ska innan Uppdraget påbörjas ge lämplig utbildning i säkerhetsskyddsfrågor till de personer på Företaget som kan komma att få tillträde till lokaler, områden eller motsvaran- de där han eller hon kan få del av hemliga uppgifter. Därefter ansvarar Företaget för att dessa personer ges behövlig och fortlöpande utbildning. Utbildningen ska bland annat behandla:
• Hot och risker som från säkerhetssynpunkt föreligger mot eller är förknippade med
Uppdraget
• Säkerhetsskyddsåtgärder som enligt Företagets säkerhetsskyddsinstruktion alternativt
Myndighetens bestämmelser ska vidtas mot föreliggande hot och risker.
Myndigheten kan vid behov och efter särskild framställan medverka i viss utbildning som Företaget ger.
Företaget ska fortlöpande kontrollera att endast behöriga personer som har godkänts av Myndigheten anlitas och att säkerhetsskyddet avseende informationssäkerhet och tillträdesbe- gränsning iakttas, samt att skyddsnivån är jämn och tillräckligt hög.
Företaget ska omedelbart underrätta Myndigheten om inträffade eller befarade händelser och omständigheter som kan påverka säkerhetsskyddet vad avser Uppdraget och personer som fal- ler under detta avtal.
10. Tillsyn
Myndigheten har rätt att kontrollera att de i säkerhetsskyddsinstruktionen alternativt Myn- dighetens bestämmelser redovisade och avtalade säkerhetsskyddsbestämmelserna följs. Vid en sådan tillsyn kan Myndigheten biträdas av en representant från Säkerhetspolisen och/eller Försvarsmakten. Tillsynen ska ske under Företagets ordinarie kontorstid eller på plats och tid enligt särskild överenskommelse. Tillsynen får inte vara mer ingripande för Företaget än vad som är nödvändigt.
11. Kostnader
Företaget ska bära eventuella kostnader som uppkommer med anledning av detta säkerhets- skyddsavtal om inget annat avtalas i Affärsavtalet.
12. Övrigt
Hemliga uppgifter som har tillförts eller uppkommit under Uppdragets genomförande ska även efter att avtalet har upphört, eller till dess att Myndigheten meddelar något annat, om- fattas av tystnadsplikt.
Företaget ska informera berörd personal om innebörden av tystnadsplikten och säkerhetsskyd- det samt se till att personalen undertecknar sekretessförbindelser. Dessa förvaras på Företa- get så länge Uppdraget pågår. När Uppdraget är slutfört lämnas sekretessförbindelserna till Myndigheten.
Företaget ska utan dröjsmål anmäla till Myndigheten när någon förändring sker beträffande firma, organisationsnummer, styrelse, verkställande direktör, revisor, post- och besöksadress eller telefonnummer. Avser ändringen firma, organisationsnummer, styrelse, verkställande direktör eller revisor ska ett nytt registreringsbevis bifogas anmälan. En anmälan ska också göras om ägarförhållandena ändras, om Företaget råkar i ekonomiska svårigheter eller försätts i konkurs.
Samtliga handlingar, materiel övrigt som innehåller hemlig uppgift och som har anknytning till Uppdraget är Myndighetens egendom om inget annat har avtalats. Dessa handlingar eller dylikt ska senast i samband med fullgjort Uppdrag återlämnas till Myndigheten eller vid den tidpunkt som parterna särskilt har kommit överens om.
13. Avtalsperiod
Detta säkerhetsskyddsavtal träder i kraft vid undertecknandet och gäller tills vidare eller till dess det skriftligen sägs upp av endera parten. [Uppsägningstid]
Avtalet kan dock inte ensidigt sägas upp till en tidigare tidpunkt än den dag då Uppdraget har slutförts eller alla hemliga uppgifter har återlämnats till Myndigheten.
Myndigheten kan dock ensidigt säga upp detta avtal liksom Affärsavtalet med omedelbar ver- kan om Företaget frångår detta avtal.
Detta avtal har upprättats i två likalydande exemplar varav parterna har tagit var sitt.