FOI arbetar med verksamhet som omfattas av säkerhetsskyddslagen (2018:585). Med säkerhets­skydd menas bland annat skydd av uppgifter som rör säkerhetskänslig verksamhet. Sådana uppgifter kallas säkerhets­skydds­klassificerade uppgifter.

När FOI genomför upphandlingar som innebär att leverantörer får tillgång till säkerhetsskyddsklassificerade uppgifter eller säkerhetskänslig verksamhet, krävs ett säkerhetsskyddsavtal eller en säkerhetsskyddsöverenskommelse. Syftet är att säkerställa att leverantören skyddar säkerhetsskyddklassificerade uppgifter, följer reglerna i säkerhetsskyddslagstiftningen samt vidtar rätt säkerhetsåtgärder under uppdraget.

Viktigt att känna till som leverantör

• Längre processer: Säkerhetsskyddade upphandlingar tar längre tid än konventionella upphandlingar på grund av krav på säkerhetsprövningar, och eventuella registerkontroller.
• Unika avtal: Varje säkerhetsskyddsavtal är unikt och utgår från specifika behov. Tidigare avtal med andra upphandlande organisationer kan inte återanvändas.
• Personalens och företagets beredskap: Innan anbud lämnas bör ni säkerställa att den personal som ska utföra arbetet är beredd att genomgå en säkerhetsprövning och att förtaget har en organisation på plats som kan hantera kraven i ett säkerhetsskyddsavtal/säkerhetsskyddsöverenskommelse. Minsta krav är att ni som leverantör har en utsedd säkerhetsskyddschef.

När krävs ett säkerhetsskyddsavtal?

Kravet gäller alla typer av upphandlingar (inklusive direktupphandlingar) om leverantören får tillgång till:

• Säkerhetsskyddsklassificerade uppgifter på nivån konfidentiell eller högre.
• Annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

Avtalet ska vara påskrivet innan leverantören får tillgång till den skyddade informationen eller verksamheten. Detta kan ske vid olika tidpunkter i processen, exempelvis redan under själva anbudsgivningen.

När krävs en säkerhetsskyddsöverenskommelse?

Kravet gäller alla typer av upphandlingar (inklusive direktupphandlingar) om leverantören får tillgång till:

• Säkerhetsskyddsklassificerade uppgifter på nivån begränsat hemligt.
• Annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

Avtalet ska vara påskrivet innan leverantören får tillgång till den skyddade informationen eller verksamheten. Detta kan ske vid olika tidpunkter i processen, exempelvis redan under själva anbudsgivningen.

Nivåer för säkerhetsskyddsavtal

Avtalen delas in i tre nivåer baserat på var och hur tillgång till uppgifter och/eller verksamhet sker:

Nivå 1: Tillgång sker utanför FOI:s områden/byggnader. Kräver inspektion av leverantörens lokaler (förstagångsbesök) samt en godkänd säkerhetsskyddsinstruktion.

Nivå 2: Tillgång sker inom FOI:s områden/byggnader.

Nivå 3: Leverantören ska inte arbeta med klassificerade uppgifter, men verksamhetens art innebär en risk att tillgång kan uppstå inom FOI:s områden.

Säkerhetsprövning av personal

För att förebygga säkerhetshot genomförs en säkerhetsprövning av all personal som ska delta i säkerhetskänslig verksamhet. Prövningen är en löpande process som omfattar:

• Inledande prövning: Inkluderar grundutredning och säkerhetsprövningsintervju. Säkerhetsprövningsintervjun genomförs alltid genom ett personligt möte (ej digitalt).
• Registerkontroll och (för vissa säkerhetsklasser) en särskild personutredning.
• Löpande uppföljning: Kontinuerlig bedömning av personens pålitlighet och förändringar i personliga förhållanden.
• Avslutande samtal: Genomförs när deltagandet i projektet upphör.

Administration och förändringar

• Personalbyte: Vid förändringar i personal som ska arbeta mot FOI ska detta anmälas via fastställda rutiner.
• Avanmälan: Om en person inte längre behöver vara säkerhetsprövad kan leverantören avanmäla personen genom att meddela FOI det enligt bestämd rutin.
• Avslut av avtal: Vid avslut av ett helt säkerhetsskyddsavtal sköter FOI avanmälan av den berörda verksamheten och personalen.