1. No category

Bilaga 14
OM SÄKERHETSSKYDDAD UPPHANDLING MED
SÄKERHETSSKYDDSAVTAL (SUA)
OBS SKA EJ FYLLAS I! ENDAST
FÖR KÄNNEDOM.
1
BILAGA TILL AFFÄRSAVTAL
2
KONTAKTPERSONER
Beställare:
Tfn.
Mobil
E-post
Leverantör:
[x]
[x]
[x]
Tfn.
Mobil
E-post
Beställarens
säkerhetshandlä
ggare
(SUA)
Tfn.
[x]
Ev.
leverantörens
arbetsledare:
Beställarens
lokalt säkerhetsansvarige
(Tillträde m.m.)
Tfn.
[x]
Leverantörens
säkerhetsansv
arige
Tfn.
Mobil
E-post
Tfn.
Mobil
E-post
[x]
[x]
[x]
[x]
[x]
[x]
[x]
[x]
[x]
Kontaktperson hos Leverantören (företaget/uppdragstagaren) har, om inte annat skriftligen meddelats
Polismyndigheten, behörighet att på Leverantörens vägnar och med för denne bindande verkan, företräda honom
i frågor som berör uppdragets specifikation och genomförande.
Säkerhetsansvarig/säkerhetsskyddschefen ska i detta uppdrag vara direkt underställ företagets ledning (se
nedan).
X VERKSAMHETS- OCH SÄKERHETSSKYDD, SÄKERHET M.M.
Polismyndighetens verksamhet kräver ett omfattande verksamhetsskydd. Det finns ett antal allvarliga hot mot
rättsväsendet och inte minst mot Polisen. Det finns också styrande regler i lagstiftning inom området. I detta
ingår bl.a. att det säkerhetsskydd som behövs ska finnas i verksamheten. Skyddet ska upprätthållas även hos de
eventuella leverantörer som berörs.
Bilaga 14
Polismyndigheten har därför beslutat att placera bl.a. denna typ av tjänst/uppdrag med de anställda i
säkerhetsklass enligt säkerhetsskyddslagen (1996:627). Detta förutsätter att säkerhetsskyddsavtal enligt 8 §
nämnda lag, träffas mellan myndigheten och leverantören. Se vidare under pkt 2.3. nedan.
2.1
Polismyndighetens verksamhets- och säkerhetsskydd.
Polismyndigheten bedriver verksamhetsskydd centralt, regionalt och lokalt. Centralt, där myndighetens verksamhetsskyddschef tillika
säkerhetsskyddschef finns inom Rikspolischefens kansli med verksamhetsskyddsenheten (VSE). Inom respektive polisregion och
regionschefernas kanslier, där motsvarande verksamhetsskydd finns på regional nivå. I verksamhetsskyddet ingår som en del,
säkerhetsskydd.
Respektive polisområde, avdelning, enhet, motsvarande, har säkerhetsskyddsansvar för och inom sin verksamhet och lokaler. Vanligen finns
det en utpekad handläggare/ansvarig för dessa frågor på denna nivå. Undantag är Rättscentrum (RC) Göteborg huvudsakligen Polishuset, där
bl.a. detta och lokaler på Stampgatan där det regionala verksamhetsskyddet har ett utpekat ansvar för dessa lokaler även på lokal nivå.
2.2
Säkerhetsskydd, säkerhet m.m.
Mot den bakgrund som redovisats ovan har Polismyndigheten att vidta ett antal åtgärder för att uppfylla sina
verksamhets- och säkerhetsskyddskrav. Vi användning av externa leverantörer m.fl. ska dessa åtgärder
säkerställas även hos dessa.
2.3
Säkerhetsskyddad upphandling med säkerhetsskyddsavtal (SUA).
Säkerhetsskyddsavtal ska tecknas.
Enligt reglerna i 8 § Säkerhetsskyddslagen (1996:627) företräder Polismyndigheten Staten. Polisverksamheten
innebär att myndigheten måste skydda sekretessbelagda (hemliga) uppgifter i samband med upphandlingen och
tjänsten/uppdraget. Detta innebär att i dessa fall kräver Polismyndigheten att reglerna gällande
Säkerhetsskyddad upphandling med säkerhetsskyddsavtal (SUA) avtalas (tecknas) och följs.
Aktuella lagrum för SUA är:
• Säkerhetsskyddslagen (1996:627)
• Säkerhetsskyddsförordningen (1996:633).
• Rikspolisstyrelsens föreskrifter om säkerhetsskydd
Till detta kommer Polismyndighetens regler om säkerhetsskydd, 244 samt Offentlighets och sekretesslagen
(2009:400).
De uppgifter som ska skyddas är vanligen sådana som berör rikets säkerhet och polisens säkerhet. Däribland
skyddsvärda uppgifter t.ex. säkerhets- eller bevakningsåtgärder som rör byggnader, anläggningar, larm, lås och
passersystem m.m. Anndra skyddsvärda uppgifter rör Polismyndighetens verksamhet för förebygga, uppdaga,
utreda eller beivra brott. Personbedömning med registerkontroll är också en viktig del.
Det finns tre olika klasser (nivåer) av SUA. Främst beroende av hur mycket sekretess som leverantören, eller
dess anställda, beräknas få eller kunna komma att få del av samt hur och var handlingar m.m. ska
förvaras/hanteras.
Vissa av Polismyndighetens lokaler är skyddsobjekt där särskilda regler kan gälla.
Det är vanligen förbjudet att fotografera Polismyndighetens skyddsobjekt och lokaler (även i dessa).
Om företaget måste kunna förvara Polismyndighetens sekretess i sina, företagets, lokaler ställs samma krav på
säkerhetsskydd hos detta som hos Polismyndigheten. Det innebär bl.a. att man troligen måste skaffa
förvaringsmöjligheter, säkerhets- eller värdeskåp. Ha särskilda larminstallationer, lås och visst övrigt skydd.
Man kan ibland behöva göra visa ombyggnader av lokaler. Detta är främst aktuellt i SUA-avtalsnivå 1.
Bilaga 14
För uppdrag gäller vanligen säkerhetsskyddsavtal samt kontroll och klassning enligt SUA nivå 3 (alt. 2
eller 1).
Detta innebär att anbudsgivare och leverantörer och/eller dess personal normalt inte ska eller avses komma att
hantera och förvara sekretessbelagda (hemliga ) uppgifter men kan komma att få del av sådana uppgifter i
anbudet eller i samband med arbetet. Om leverantören kommer att behöva förvara Polismyndighetens sekretess i
företagets egna lokaler så ska det finnas SUA-avtal i nivå ett och då med särskilda krav från Polismyndigheten
på företagets säkerhetsskydd (i och för företagets lokaler) Se ovan..
X.2. Säkerhetsskyddsavtal och krav på företaget/leverantören.
I enlighet med det säkerhetsskyddsavtal som tecknats skall leverantören utse en säkerhetsansvarig
(säkerhetsskyddschef) och vid behov och enligt överenskommelse med Polismyndigheten, eventuellt lokalt
säkerhetsansvariga för region, visst arbetsställe eller motsvarande.
Säkerhetsansvarig ska i enlighet med säkerhetsskyddsavtalet ansvara för att villkorat och överenskommet
säkerhetsskydd upprätthålls och efterlevs samt att utbildningar av personal genomförs.
Leverantören ansvarar genom säkerhetsansvarig för den säkerhetsskyddshantering samt hantering av underlag
och handlingar som krävs enligt säkerhetsskyddsavtalet.
Leverantören ska med sin säkerhetsansvarige delta i de möten som behövs för att
- erhålla den utbildning som krävs för att leverantören ska kunna hålla det avtalade säkerhetsskyddsansvaret.
- erhålla underlag och utbildning för att ta fram de handlingar som krävs för säkerhetsskyddsarbetet.
- fortlöpande göra och bevaka personbedömning m.m. samt anmäla/avanmäla registerkontroller och hantera
dessa.
- utbilda personalen och sköta hanteringen av sekretessbevis.
- i övrigt enligt säkerhetsskyddsavtalet vara myndighetens kontakt i säkerhetsskyddsfrågor.
Beställaren/Polismyndigheten kommer att kalla till en (eller flera) säkerhetsgenomgång före entreprenadens
eller uppdragets start, där Leverantörens personal i uppdraget ska medverka. Beställaren/myndigheten kan vid
behov medverka i den säkerhetsutbildning m.m. som leverantörens personal ska genomgå.
2.4
Användning och byte av personal
Behörig personal. Leverantören får inte för arbete eller uppdrag för Polismyndigheten använda personal som
inte medgivit och genomgått registerkontroll och som myndigheten därefter godkänt från säkerhetssynpunkt.
Leverantören ska ha gjort en personbedömning från säkerhetssynpunkt.
Leverantören ska omedelbart byta ut sådan personal som inte bedöms eller längre kan bedömas lämpliga från
säkerhetssynpunkt.
Leverantören ska snarast byta ut sådan personal vilken Polismyndigheten anser sakna erforderlig kompetens eller
med vilken myndigheten anser sig ha samarbetssvårigheter.
Säkerhetsskyddsavtal om vilka regler som gäller och vilka åtgärder som ska vidtas skrivs mellan
Polismyndigheten och Leverantören/företaget. Detta avtal kan i vissa fall (SUA-avtalsnivå 1) göra att företaget
ska upprätta en säkerhetsskyddsinstruktion . Instruktionen är en beskrivning och regler av och för de
säkerhetsskyddsåtgärder och säkerhetsskyddsrutiner som gäller för och inom företaget (företagets egna
säkerhetsskyddsregler).
Registerkontroll ska genomföras av företagets ledning (kan komma att inte genomföras), säkerhetsansvarige,
eventuell registrator/motsvarande (om en sådan ska finnas) samt den personal som ska delta i arbetet hos
Bilaga 14
beställaren eller i myndighetens lokaler. Registerkontroll innebär att uppgifter om berörda kontrolleras i olika
polisregister (se mer detaljerad info nedan).
Sekretessbevis tecknas med företagets VD (inte alltid), säkerhetsskyddsansvarig och den personal som
Leverantören/företaget behöver för att genomföra uppdraget. Polismyndigheten gör registerkontroll på (den
personal som kommer att komma i kontakt med sekretessen). Sekretessbeviset är bl.a. en förbindelse att inte röja
någon hemlig (sekretessbelagd) information till den som inte är behörig till den (se bl.a. Brottsbalken (1962:700)
20 kap 4§ om brott mot tystnadsplikt och andra hithörande brott).
Säkerhetsskyddsutbildning med den personal som ska delta i arbetet/uppdraget och säkerhetsansvarig kan ske
under det sk. förstagångsbesöket där Polismyndigheten står för utbildningen. Utbildning av tillkommande
personal ska ske genom säkerhetsansvarigs försorg.
Utbildningen omfattar bland annat:
• Hot och hotbild. De hot och risker som Polismyndigheten utgår ifrån och som grundar
verksamhets- och säkerhetsskyddsbehovet.
• De regelverk som finns för tillträdesbegränsning såsom lås, larm, fönster dörrar väggar
passerkontrollsystem, nyckel- eller korthantering m.m. (inkl. användning av dessa).
• Den informationssäkerhet som myndigheten tillämpar bl.a. för förvaring, hantering, delgivning
och transport av hemliga uppgifter (papper, mediaskivor, ritningar, USB-minnen, datorer m.m.).
• IT-säkerhetskrav för hantering och förvaring av öppna och hemlig uppgifter i ITsystem.
Personbedömningskrav. Vad som ingår i personbedömningen. Registerkontroll. Polisregister
m.m.
• Sekretesskrav och regler som följd av dessa. Den sekretess och andra skyddsvärda uppgifter
som myndigheten har att hantera.
Förstagångsbesöket följs normalt upp med ett eller flera kontrollbesök, föranmälda eller överraskande.
Hela SUA förfarandet, inkl. registerkontroller, måste vara klart innan något arbete får påbörjas.
Säkerhetsprövning med registerkontroll.
Registerkontroll är en del av personbedömningen. Personbedömningen svarar företaget/leverantören för.
Den hanteras delvis av Säkerhetspolisen (SÄPO) på begäran från Polismyndigheten.
Innan en registerkontroll genomförs ska den som ska kontrolleras personligen godkänna (skriftligen medge) att
kontrollen görs. Om någon person inte lämnar godkännande till registerkontroll får denne inte ianspråktas i
SUA-uppdraget. Det är Polismyndigheten som beslutar om en anställd ska få delta i verksamheten.
Polismyndigheten grundar beslutet på leverantörens personbedömning, egna underlag samt eventuella uppgifter i
registerkontrollen. Leverantören ska avvakta Polismyndighetens beslut i dessa ärenden. Ingen får delta i arbetet
för än Polismyndigheten godkänt detta.
Om det finns uppgift i polisens register avgör Registerkontrolldelegationen, en del av Säkerhets- och
Integritetsskyddsnämnden om en uppgift ska lämnas ut. Polismyndigheten (SäkE) avgör därefter huruvida den
aktuelle ska eller inte ska få delta i arbetet eller uppdraget.
Om det finns uppgift att lämna ut till Polismyndigheten meddelas (kommuniceras) den berörde innan
uppgifterna lämnas ut till Polismyndigheten. Den berörde har då möjlighet att avsäga sig sin medverkan i arbetet
eller uppdraget (projektet) eller komma med en inlaga. Inga uppgifter lämnas ut till Polismyndigheten om den
omfrågade inte vill kvarstå. Detta innebär då också självklart att personen inte får deltaga i SUA-uppdraget.
Om någon i SUA-uppdraget registerkontrollerad person under uppdragets/arbetets gång gör sig skyldig till brott
eller på annat sätt hamnar i något av de aktuella registren sker ett så kallat spontanutfall. Utlämning bedöms på
samma sätt som ovan av Registerkontrolldelegationen och den så kallade kommuniceringen sker innan uppgift
lämnas ut.
Polismyndigheten avgör därefter huruvida den aktuelle ska eller inte ska få fortsätta att delta i arbetet eller
uppdraget..
När SUA-uppdraget är slutfört eller någon anställd slutar vid företaget dessförinnan, avanmäler
Polismyndigheten berörda personer från registerkontrollen hos Säkerhetspolisen (SÄPO) efter anmälan från
företaget/leverantören.
Företagets säkerhetsansvarige ska hålla Polismyndigheten underrättad om sådana förändringar.
Bilaga 14
Polismyndigheten kan även av andra skäl utesluta någon från deltagande t.ex. om någon förekommer med
sådana uppgifter i Polisens kriminalunderrättelseverksamhet att deltagande inte kan tillåtas.
2.5
Tillträdesbestämmelser m.m.
Polisområde, avdelning eller enhet har vanligen lokala regler för säkerhetsskydd däribland tillträde m.m.
Överenskommelse om dessa sker med respektive arbetsställe. För RC och Polishuset Ernst Fontells plats gäller
särskilda regler. SäkE har en särskild säkerhetssamordnare som ansvarar för säkerhetsskyddet i och för dessa
lokaler och området. Lokalerna ligger inom skyddsobjekt och får t.ex. inte avbildas m.m.
2.6
Nycklar och/eller passerkort samt badge
Polismyndigheten ska mot kvittens från Leverantören eller dess anställda, tillhandahålla eventuellt erforderliga
nycklar och/eller inpasseringskort för personal. Närmare om detta regleras vi varje arbetsställe. Nycklar och
passerkort ska och får endast kvitteras ut av personal som finns upptagen på Leverantörens tjänstgöringslista
(motsv.). Ibland sker utkvittering vid varje arbetstillfälle. På de flesta arbetsplatser krävs också en badge
(behörighetsbevis) som ska bäras synlig inom lokalerna. Hantering som för inpasseringskort.
Nycklar får inte kopieras. Nycklar och inpasseringskort får inte lämnas till obehöriga. Leverantören eller dennes
personal ska omgående anmäla förlust av nyckel eller inpasseringskort till beställarens kontaktman (Polisen).
Vid arbetsdagens slut ska Leverantören vanligen återlämna samtliga nycklar och inpasseringskort till angiven
funktion/befattningshavare hos Polismyndigheten eller enligt överenskommelse med lokalt säkerhetsansvarig
på/för arbetsstället.
Leverantören ska svara för eventuella kostnader som uppkommer till följd av förlust av nyckel eller
inpasseringskort. Detta gäller såväl anskaffning av nycklar och kort som nödvändiga kostnader för utbyte av
låssystem, omprogrammering av passersystem och dyl.
Leverantören ska även svara för eventuella utryckningskostnader på grund av falsklarm, förorsakade av
Leverantörens personal.
Meddelandeskyldighet. Om Leverantörens personal upptäcker eller förorsakar skador eller förmodade skador
som kan leda till större skador ska dessa omedelbart meddelas beställaren.
Bilaga 14
3
UNDERLEVERANTÖR
Företaget får inte utan Polismyndighetens tillstånd använda annan än företagets egen anställd personal i
verksamheten hos myndigheten. Inte heller får en underleverantör användas i verksamheten inom myndighetens
lokaler utan särskild hantering och tillstånd.
Leverantören får endast använda eventuell underleverantör som från säkerhetssynpunkt godkänts av
Polismyndigheten. Säkerhetsskyddsavtal tecknas med denne i likhet med vad som gäller för leverantören.
Leverantören har endast rätt att använda underleverantör till de delar av uppdraget som i så fall avtalats särskilt
och angetts eller beskrivits under en särskild punkt i kravspecifikationen (eller affärsavtalet). Leverantören
svarar för underleverantörs arbete så som för eget arbete.
Byte av underleverantör ska ske i samråd med beställaren. Detta ska skriftligen godkännas av Beställaren.
Om underleverantörer anlitas i strid med det sagda äger beställaren rätt att säga upp avtalet helt eller delvis med
omedelbar verkan.
4
ÖVERLÅTELSE AV AVTAL
Om ägarskifte sker hos Leverantören ska skriftligt godkännande för överlåtelse omedelbart inhämtas av
Polismyndigheten. Detta kräver också ett nytt säkerhetsskyddsavtal och hantering i likhet med vad som gäller
för det nuvarande företaget( leverantören). Nytt företag får endast anlitas om det kan ske i enlighet med
lagstiftning och praxis gällande offentlig upphandling och endast med Polismyndighetens skriftliga medgivande.
Myndigheten får överlåta sina rättigheter och skyldigheter enligt detta avtal till annan statlig myndighet eller
annat statligt organ.
Leverantören får inte avbryta eller uppskjuta fullgörande av de prestationer som avtalats under åberopande av att
tvisteförfarande inletts eller pågår.