Säkerhetsskyddsavtal
Säkerhetsskyddsavtal
Nivå 3
1 PARTER
[VERKSAMHETSUTÖVARE], organisationsnummer XXXXXX-XXXX [ADRESS]
[POST NR ORT]
Nedan kallad ”Verksamhetsutövaren”.
[LEVERANTÖR], organisationsnummer XXXXXX-XXXX Nedan kallad ”Leverantören”.
[ADRESS] [POST NR ORT]
har det datum som anges nedan ingått detta säkerhetsskyddsavtal (”Säkerhetsskyddsavtalet”)
2 INLEDNING
2.1 Uppdraget rör säkerhetskänslig verksamhet
[Alternativ 1 för offentliga Verksamhetsutövare]
[Verksamhetsutövaren avser att genomföra en upphandling och kommer därigenom tillhandahålla upphandlingsdokument till Leverantören. I upphandlingsdokumenten förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre.]
Verksamhetsutövaren avser att ingå ett kontrakt avseende [varor] [tjänster] [byggentreprenader] med Leverantören med benämningen [projektnamn] (nedan kallat ”Kontraktet”). Leverantörens prestationer enligt Kontraktet kallas Uppdraget.
[Alternativ 2 för enskilda Verksamhetsutövare]
[Verksamhetsutövaren avser att genomföra ett inköp och kommer därigenom tillhandahålla inköpsdokument till Leverantören. I inköpsdokumenten förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre.]
Verksamhetsutövaren avser att ingå ett kontrakt avseende [varor] [tjänster] [byggentreprenader] med Leverantören med benämningen [projektnamn] (nedan kallat ”Kontraktet”). Leverantörens prestationer enligt Kontraktet kallas Uppdraget.
[I upphandlingen/inköpet förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre. Leverantören kan därigenom komma att i Verksamhetsutövarens egna lokaler eller utrymmen få tillgång till sådana uppgifter.]
[Leverantören kan komma att i Verksamhetsutövarens egna lokaler eller utrymmen få tillgång till säkerhetskänslig verksamhet där åtkomst kan medföra en inte obetydlig skada för Sveriges säkerhet.]
Mot ovanstående bakgrund ska Parterna ingå detta Säkerhetsskyddsavtal. Säkerhetsskyddsavtalet är ett villkor för Kontraktets giltighet men utgör ingen garanti för att Verksamhetsutövaren ska teckna Kontraktet med Leverantören.
2.2 Säkerhetskänslig verksamhet, säkerhetsskydd och säkerhetsskyddsklassificerade uppgifter
Verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktigande internationellt åtagande om säkerhetsskydd utgör säkerhetskänslig verksamhet. Med säkerhetsskydd avses skydd av säkerkänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter.
Med säkerhetsskyddsklassificerade uppgifter avses uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400) eller som skulle ha omfattats av sekretess enligt den lagen, om den hade varit tillämplig.
3 Avtalets syfte, omfattning samt begrepp
Detta Säkerhetsskyddsavtal inklusive bilagor reglerar vilka säkerhetsskyddskrav och säkerhetsskyddsåtgärder som Leverantören ska uppfylla och vidta [vid utförande av Uppdraget] [för att ta del av upphandlingsdokumenten/inköpsdokumenten].
Avtalet utgör en grund för att besluta om vilka anställningar och annat deltagande hos Leverantören som ska placeras i säkerhetsklass.
Vid motstridiga uppgifter i Säkerhetsskyddsavtalet och i Kontraktet och har Säkerhetsskyddsavtalet företräde.
Om Leverantörens verksamhet omfattas av säkerhetsskyddslagen (2018:585) kan säkerhetsskyddskraven inte göras mindre långtgående i detta Säkerhetsskyddsavtal.
Ord och uttryck i säkerhetsskyddsavtalet inklusive bilagor har samma innebörd som i säkerhetsskyddslagen (2018:585), säkerhetsskyddsförordningen (2018:658) och Säkerhetspolisens föreskrifter om säkerhetsskydd, PMFS 2019:2 om inte annat särskilt anges.
4 Anmälan av säkerhetsskyddsavtal
När detta Säkerhetsskyddsavtal har ingåtts ska Verksamhetsutövaren anmäla det till Säkerhetspolisen.
Om Verksamhetsutövaren är enskild och den avser att ingå ett säkerhetsskyddsavtal ska den utan dröjsmål anmäla det till den tillsynsmyndighet som anges i 7 kap. 1 § första stycket 3-6 säkerhetsskyddsförordningen (2018:658). Sådan anmälan ersätter inte den anmälan som ska göras enligt första stycket.
5 Underleverantörer
Leverantören får inte anlita underleverantörer för fullgörande av Uppdraget utan Verksamhetsutövarens godkännande. Leverantören får endast anlita underleverantörer för fullgörande av Uppdraget som har ingått säkerhetsskyddsavtal med Verksamhetsutövaren.
6 Säkerhetsskyddsorganisation
Det ska finnas en säkerhetsskyddschef hos Leverantören som kontrollerar att verksamheten bedrivs i enlighet med detta Säkerhetsskyddsavtal samt fungerar som kontaktperson i säkerhetsskyddsfrågor mot Verksamhetsutövaren.
Säkerhetsskyddschefen ska ingå eller vara direkt underställd Leverantörens ledning. Kravet på säkerhetsskyddschef innebär inte krav på en självständig befattning utan kan innehas av någon som har andra arbetsuppgifter.
7 Behandling av säkerhetsskyddsklassificerade uppgifter
Säkerhetsskyddsklassificerade uppgifter i en viss säkerhetsskyddsklass och som omfattas av detta Säkerhetsskyddsavtal får endast behandlas i informationssystem eller på lagringsmedium som Verksamhetsutövaren har godkänt för lägst den säkerhetsskyddsklass som uppgifterna har.
Leverantören får endast hantera och förvara säkerhetsskyddsklassificerade uppgifter i Verksamhetsutövarens egna lokaler eller utrymmen. Leverantören får inte medföra säkerhetsskyddsklassificerade uppgifter från Verksamhetsutövarens lokaler eller utrymmen.
Parterna ska i övrigt träffa en särskild överenskommelse om vilka bestämmelser i avsnitt 3, Behandling av säkerhetsskyddsklassificerade uppgifter och handlingar, m.m., i Säkerhetspolisens föreskrifter om säkerhetsskydd PMFS 2019:2 som med vederbörliga ändringar ska tillämpas mellan Parterna. Överenskommelsen ska biläggas detta Säkerhetsskyddsavtal.
8 Informationssäkerhet i informationssystem
Parterna ska träffa en särskild överenskommelse om vilka bestämmelser i avsnitt 4, Informationssäkerhet för informationssystem, i Säkerhetspolisens föreskrifter om säkerhetsskydd PMFS 2019:2 som med vederbörliga ändringar ska tillämpas mellan Parterna. Överenskommelsen ska biläggas detta Säkerhetsskyddsavtal.
9 Fysisk säkerhet
Leverantören och dess personal som deltar i Uppdraget åtar sig att följa Verksamhetsutövarens bestämmelser om fysisk säkerhet.
Endast behörig personal hos Leverantören får ha tillträde till en lokal eller annat utrymme där säkerhetskänslig verksamhet bedrivs.
Leverantören får inte utan Verksamhetsutövarens skriftliga godkännande byta eller använda andra lokaler eller utrymmen för Uppdragets genomförande.
10 Personalsäkerhet
10.1 Behörighet att delta i säkerhetskänslig verksamhet
Säkerhetsskyddsklassificerade uppgifter får endast delges personer som har säkerhetsprövats och, om deltagandet har placerats i säkerhetsklass, registerkontrollerats samt godkänts av Verksamhetsutövaren.
Verksamhetsutövaren bestämmer vem samt i vilken omfattning som denne får användas i Uppdraget.
Behörig att ta del av säkerhetsskyddsklassificerade uppgifter eller i övrigt delta i säkerhetskänslig verksamhet är endast den som:
1. har bedömts pålitlig från säkerhetssynpunkt,
2. har tillräckliga kunskaper om säkerhetsskydd, och
3. behöver uppgifterna eller annan tillgång till verksamheten för att kunna utföra sitt arbete eller på annat sätt delta i den säkerhetskänsliga verksamheten.
11 Säkerhetsprövning
11.1 Syfte
Innan en person får delta i säkerhetskänslig verksamhet ska Leverantören genom säkerhetsprövning pröva personens lojalitet och pålitlighet från säkerhetssynpunkt. Säkerhetsprövningen ska omfatta varje person som ska delta i säkerhetskänslig verksamhet oavsett om registerkontroll förekommer eller inte.
11.2 Ansvar för säkerhetsprövningen
Leverantören ansvarar för att säkerhetsprövningen genomförs om inte Verksamhetsutövaren meddelar annat. Verksamhetsutövaren har alltid rätt att göra den slutliga bedömningen om den kontrollerade ska få delta i den säkerhetskänsliga verksamheten.
11.3 Säkerhetsprövningens innehåll
Säkerhetsprövningen ska innefatta en grundutredning om personliga förhållanden av betydelse från säkerhetssynpunkt. Utredningen ska åtminstone bestå av betyg, intyg och referenser samt att uppgifter från den som kontrollen avser inhämtas genom en intervju. Vid behov ska en identitetskontroll göras. Om deltagandet är placerat i säkerhetsklass ska en registerkontroll göras. Om deltagandet är placerat i säkerhetsklass 1 eller 2 ska en särskild personutredning göras om den kontrollerades ekonomiska förhållanden. Utredningen innefattar även en kontroll av medkontrollerad, det vill säga den kontrollerades make, maka eller sambo. En grundutredning kan behöva kompletteras om uppgifter lämnas ut efter registerkontroll.
11.4 Samtycke
Innan en framställan om registerkontroll skickas till Verksamhetsutövaren ska Leverantören särskilt informera den kontrollerade om vad kontrollen innebär. Leverantören ska i samband med det inhämta den kontrollerades skriftliga samtycke till kontrollen. Det dokumenterade samtycket ska förvaras hos Verksamhetsutövaren. Samtycket omfattar eventuella nya kontroller under den tid som deltagandet i den säkerhetskänsliga verksamheten pågår.
11.5 Anmälan om den kontrollerade slutar
Leverantören ska genast anmäla till Verksamhetsutövaren om en registerkontrollerad person hos Leverantören lämnar Uppdraget. Verksamhetsutövaren ska genast anmäla till Säkerhetspolisen att personen har lämnat Uppdraget.
11.6 Anmäla sårbarheter i säkerhetshänseende
Leverantören ska till Verksamhetsutövaren anmäla inträffade eller befarade händelser eller omständigheter som kan vara av betydelse för den kontrollerades lämplighet och pålitlighet från säkerhetssynpunkt.
11.7 Förbud mot fortsatt deltagande i säkerhetskänslig verksamhet
Om den kontrollerade under Uppdragets genomförande bedöms olämplig från säkerhetssynpunkt, ska Leverantören genast vidta de åtgärder som är lämpliga för att vederbörande inte ska fortsätta sitt deltagande i den säkerhetskänsliga verksamheten. Verksamhetsutövaren har alltid rätt att göra den slutliga bedömningen om den kontrollerades lämplighet och begära att Leverantören omedelbart stänger av den kontrollerade från fortsatt deltagande i den säkerhetskänsliga verksamheten.
11.8 Utbildning i säkerhetsskydd
Verksamhetsutövaren ska innan Uppdraget påbörjas tillse att tillräcklig utbildning i säkerhetsskydd ges till de personer hos Leverantören som deltar i den säkerhetskänsliga verksamheten. Behovet av utbildning ska följas upp under den tid deltagandet i den säkerhetskänsliga verksamheten pågår.
Därefter ansvarar Leverantören för att ovannämnda personer ges tillräcklig utbildning fortlöpande.
Utbildningen ska minst innehålla:
• Hot och sårbarheter som från säkerhetssynpunkt föreligger mot eller är förknippade med Uppdraget.
• Säkerhetsskyddsåtgärder som enligt Leverantörens säkerhetsskyddsinstruktion ska vidtas mot föreliggande hot och sårbarheter.
12 Leverantörens kontroll
Leverantören ska fortlöpande kontrollera att endast behöriga personer som har godkänts av Verksamhetsutövaren anlitas i Uppdraget.
Leverantören ska fortlöpande kontrollera att säkerhetsskyddet avseende informationssäkerhet och fysisk säkerhet upprätthålls samt att skyddsnivån är jämn och tillräckligt hög.
Leverantören ska till Verksamhetsutövaren anmäla inträffade eller befarade händelser eller omständigheter som kan vara av betydelse ur säkerhetssynpunkt.
13 Verksamhetsutövarens kontroll över säkerhetsskyddet
Verksamhetsutövaren äger alltid rätt att kontrollera att Leverantören uppfyller Säkerhetsskyddsavtalet.
Vid en sådan kontroll får Verksamhetsutövaren biträdas av representanter från andra myndigheter.
Kontrollen får inte vara mer ingripande än nödvändigt.
14 Anmälan vid säkerhetshotande händelser och verksamhet
Leverantören ska skyndsamt anmäla till Verksamhetsutövaren om en säkerhetsskyddsklassificerad uppgift kan ha röjts eller om Leverantören får kännedom eller misstanke om någon annan för denne allvarlig säkerhetshotande verksamhet.
15 Kostnader
Leverantören ska bära eventuella kostnader som uppkommer med anledning av detta Säkerhetsskyddsavtal om inte något annat avtalas.
16 Åtagande om sekretess och erinran om lagstadgad tystnadsplikt
16.1 Åtagande om sekretess
I Uppdraget kan Leverantören få del av uppgifter som omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400). Leverantören åtar sig att inte obehörigen röja eller utnyttja uppgifter som omfattas av sekretess.
Leverantören åtar sig att informera och tillse att varje person hos Leverantören som är säkerhetsprövad enligt detta Säkerhetsskyddsavtal följer denna bestämmelse.
16.2 Erinran om lagstadgad tystnadsplikt för säkerhetsskyddsklassificerade uppgifter
Den som deltar i säkerhetskänslig verksamhet får inte obehörigen röja eller utnyttja säkerhetsskyddsklassificerade uppgifter. Varje person hos Leverantören som är säkerhetsprövad enligt detta Säkerhetsskyddsavtal ska underteckna en erinran om tystnadsplikt. Xxxxxxx om tystnadsplikt ska förvaras hos Verksamhetsutövaren.
17 Ändrade förhållanden och revidering
Leverantören ska utan dröjsmål anmäla till Verksamhetsutövaren när någon förändring sker beträffande firma, organisationsnummer, styrelse, verkställande direktör, revisor, post- och besöksadress eller telefonnummer. Om ändringen avser uppgifter som registreras hos Bolagsverket eller motsvarande ska ett nytt registreringsbevis bifogas anmälan. En anmälan ska också göras om ägarförhållandena ändras, om Leverantören ställer in betalningar, begärs eller
försätts i konkurs, inleder ackordsförhandlingar eller kan antas ha kommit på obestånd.
Verksamhetsutövaren har rätt att revidera Säkerhetsskyddsavtalet om det krävs på grund av ändrade förhållanden, som förutom sådana omständigheter som avses i första stycket kan avse ändrade förhållanden i omvärlden som föranleder andra säkerhetsskyddsåtgärder än vad som följer av Säkerhetsskyddsavtalet eller att kraven på säkerhetsskydd förändrats.
18 Åtgärder när Säkerhetsskyddsavtalet upphör att gälla
När detta Säkerhetsskyddsavtal har upphört ska Verksamhetsutövaren upplysa Leverantören om den tystnadsplikt som följer av 5 kap. 2 § säkerhetsskyddslagen (2018:585).
Samtliga handlingar, materiel eller övrigt som innehåller säkerhetsskyddsklassificerade uppgifter och som har anknytning till Uppdraget är Verksamhetsutövarens egendom om inget annat har avtalats. Dessa handlingar eller dylikt ska senast i samband med att detta Säkerhetsskyddsavtal upphör att gälla återlämnas till Verksamhetsutövaren eller vid den tidpunkt som Parterna särskilt kommer överens om.
När detta Säkerhetsskyddsavtal har upphört ska Verksamhetsutövaren skyndsamt avanmäla det till Säkerhetspolisen inklusive de registerkontroller som hör till avtalet.
19 Ikraftträdande och uppsägning
Detta Säkerhetsskyddsavtal träder i kraft vid det datum båda Parter har undertecknat det och gäller tills vidare till dess det skriftligen sägs upp av någon av Parterna. Leverantören kan dock inte ensidigt säga upp Säkerhetsskyddsavtalet till en tidigare tidpunkt än den dag då Uppdraget har slutförts och alla säkerhetsskyddsklassificerade uppgifter har återlämnats till Verksamhetsutövaren.
Verksamhetsutövaren kan ensidigt säga upp detta Säkerhetsskyddsavtal liksom Kontraktet med omedelbar verkan om Leverantören har brutit mot Säkerhetsskyddsavtalet.
Bilaga:
1. Särskild överenskommelse om Behandling av säkerhetsskyddsklassificerade uppgifter och handlingar, m.m.
2. Särskild överenskommelse om Informationssäkerhet i informationssystem