Det brukar sägas att vanliga it-konsultupphandlingar i offentlig sektor är krångliga och tidsödande, men det finns de som är värre – och det är en typ av upphandlingar som det väntas bli fler av. De kallas SUA, säkerhetsskyddade upphandlingar med säkerhetsskyddsavtal, där leverantörer kommer i kontakt med hemligstämplade uppgifter eller deltar i verksamhet som har betydelse för rikets säkerhet. När avtalen till slut ingåtts eller avslutats ska Säpo meddelas.
Det görs säkerhetskontroller på de som arbetar med det här, vilket gör att en del företag kanske undviker upphandlingarna.
– Jag tror att det här med säkerhetsskyddade upphandlingar är en vit fläck för många och det kan vara så att leverantörer ser det som extra arbete med anbud och genomföranden inför de här upphandlingarna, säger Per Asp, säkerhetsskyddsspecialist på Fortifikationsverket som just nu håller på att upphandla delar av sin it-drift. Det är väldigt långa processer med många delar, där olika typer av personalia, avtal och så vidare ska skickas fram och tillbaka mellan myndigheten och entreprenören.
– Dessutom görs det säkerhetskontroller på de personer som arbetar med det här, vilket gör att en del företag kanske undviker de här upphandlingarna. Det görs hela tiden för att skapa det balanserade säkerhetsskydd som krävs för att skydda de hemliga uppgifterna.
Fortifikationsverket har regeringens uppdrag att se till att Försvarsmakten har väl fungerande anläggningar, mark och lokaler för sin verksamhet. De har fler än tusen SUA-avtal med olika entreprenörer och anordnar också utbildningar inom området.
– I grund och botten är det ett lagkrav, säger Per Asp. Om staten ska teckna avtal med entreprenörer som ska ha hand om hemliga uppgifter måste man få in de här företagen i säkerhetsskyddet. Dels så kollar man på företagets personal, och då använder vi Säpo för att genomföra en del av säkerhetsprövningen, nämligen registerkontrollen. Det här sker i samtycke med individen. Men sedan kollar man naturligtvis också företagen, hur deras lokaler ser ut och är anpassade efter att kunna hantera och förvara hemliga uppgifter.
Ofta när Fortifikationsverket arbetar med säkerhetsskyddsupphandlingar så handlar det om själva byggnationen, där it ibland är en komponent. Och när det gäller upphandlingen kring sin egen it-drift som pågår just nu är det naturligtvis säkerhetsskydd med SUA-avtal som kommer att gälla.
– Vi har en del av it-driften outsourcad och där använder vi oss av SUA eftersom det är mycket personuppgifter hos våra anställda som en it-leverantör kan komma i kontakt med, för personer som bland annat arbetar med vårt slutna bestånd, alltså hemliga anläggningar, vår generaldirektör med flera.
Per Asp berättar att myndigheten inför ett sådant här avtal tittar på helheten: Personalen som leverantören använder, lokalerna och datahallarna, hur säkerheten sköts och hur man hanterar extern personal som har tillgång till byggnaderna, som städpersonal, annan servicepersonal och väktare.
– Dessutom måste man ha koll så att inte informationen samkörs med leverantörernas andra kunder, som finns i samma datahall.
Nu är det Atea som sköter en del av den outsourcade it-driften åt Fortifikationsverket, men vem som går vinnande ur den nya upphandlingen är inte klart. Hur mycket de här avtalen omsätter finns ingen samlad siffra på, men Per Asp tror på fler SUA-upphandlingar bland annat eftersom regeringen ökar försvarsanslagen.
– Nu med den den nya regeringens budget som innebär att Försvarsmakten får mer pengar, genererar detta självklart mer jobb för oss inom verket, och alltså fler SUA-upphandlingar för seriösa företag vilket skapar en intressant marknad med samhällsnytta.
Att specialisera sig på de här upphandlingarna och hoppas på att få fler och fler uppdrag eftersom man klarat säkerhetskontrollerna kan både vara en för- och nackdel.
– Det är klart att man som trogen och bra entreprenör kan ha en fördel. Men det är samtidigt så att vi inte vill att ett företag ska få se en helhet av en verksamhet.
Läs mer:
It-säkerhetsministern: Vi är inte så skyddade som vi tror
Starta-eget-boom i it-branschen
- Säkerhetsskyddade upphandlingar används när en myndighet ska begära in ett anbud eller träffa avtal om upphandling där det i förfrågningsunderlaget eller under uppdragets utförande förekommer hemliga uppgifter, eller där leverantören kommer att delta i verksamhet med betydelse för rikets säkerhet.
- Myndigheten ska enligt säkerhetsskyddslagen träffa ett skriftligt säkerhetsskyddsavtal med anbudsgivaren eller leverantören, gällande det säkerhetsskydd som be-hövs i det särskilda fallet.
- Det innebär att myndigheten ska ställa samma krav på säkerhetsskydd hos leverantörer (både huvudleverantörer och eventuella underleverantörer) som de ställer i sin egen verksamhet.
- När avtal ingåtts ska leverantören arbeta fram en instruktion för säkerhetsskyddet.
- Ska leverantören hantera och förvara hemliga uppgifter i sina egna lokaler ska myndigheten besöka företaget. Detta för att kontrollera att lokalerna är lämpliga.
- Alla som deltar i uppdraget och som kan få del av hemliga uppgifter eller delta i verksamhet som har betydelse för rikets säkerhet ska säkerhetsprövas. Dessutom ska en registerkontroll göras om uppdraget är placerat i säkerhetsklass.
- När ett säkerhetsskyddsavtal ingåtts eller upphört att gälla ska myndigheten meddela Säkerhetspolisen.
Källa: Säkerhetspolisen
