Den absolut första frågan som upphandlaren bör ställa sig är om det är lämpligt eller överhuvudtaget möjligt att genomföra it-upphandlingen med hänsyn till den information som kommer att behöva hanteras av leverantören och hur kritiskt systemet är för myndighetens verksamhet. Det är också viktigt att inför en it-upphandling eller ett outsourcing-projekt genomföra en riskanalys och informationsklassning samt säkerställa att tillräcklig säkerhetskompetens finns i projektet.
Förutsatt att en it-upphandling är lämplig och laglig att genomföra kan följande riktlinjer eller ”checklista” användas som vägledning.
Utför en specifik säkerhetsanalys inför varje upphandlings- eller outsourcingprojekt. Analysen bör besvara åtminstone följande frågor: Vilken typ av information och verksamhet omfattas av upphandlingen eller projektet? Vad behöver informationen och verksamheten skyddas mot? På vilket sätt bör den skyddas? Ska upphandlingen genomföras som en säkerhetsskyddad upphandling?
Om projektet omfattar uppgifter som är sekretessbelagda, eller leverantören under uppdragets genomförande kommer att delta i verksamhet som rör rikets säkerhet, kan upphandlingen behöva utföras i enlighet med säkerhetsskyddslagen och reglerna om säkerhetsskyddad upphandling.
Från och med den 1 april 2018 gäller att statliga myndigheter, som tänker genomföra en säkerhetsskyddad upphandling där leverantören kommer att hantera och/eller förvara hemliga uppgifter utanför myndighetens lokaler, ska utföra en säkerhetsanalys i samråd med sin tillsynsmyndighet, Säkerhetspolisen eller Försvarsmakten.
Det är också viktigt att känna till att en ny säkerhetsskyddslag träder i kraft den 1 april 2019. Den nya lagen medför en utvidgning av säkerhetsskyddslagens tillämpningsområde och ett förtydligande att lagen också gäller för enskild verksamhet.
Om upphandlingen genomförs som säkerhetsskyddad upphandling bör följande åtgärder vidtas:
•Ingå säkerhetsskyddsavtal innan hemliga uppgifter lämnas till eller affärsavtal ingås med leverantören och underrätta Säkerhetspolisen om att säkerhetsskyddsavtal har ingåtts.
•Säkerhetsskyddsavtal finns på tre olika nivåer, där nivå 1 ingås när hemliga uppgifter ska hanteras och/eller förvaras utanför myndighetens lokaler, nivå 2 när uppgifterna hanteras i myndighetens lokaler eller i lokaler som anvisats av myndigheten och nivå 3 när en leverantör kan komma att få ta del av hemliga uppgifter i myndighetens lokaler eller i lokaler som anvisats av myndigheten.
Bedöm vilken nivå av säkerhetsskyddsavtal som ska ingås och anpassa innehållet till den specifika situationen. Se till att de säkerhetsskyddskrav som ställs i säkerhetsskyddsavtalet kan kontrolleras och följas upp.
•Utför säkerhetsprövning och registerkontroll av företagsledningen, leverantörens säkerhetschef och den personal som kommer att ta del av hemliga uppgifter eller handlingar inom ramen av projektet och placera personerna i säkerhetsklass. Säkerhetsprövning och registerkontroll ska utföras med hänsyn till individernas personliga integritet och ska inte göras mer långtgående än nödvändigt.
Följande bör även tas i beaktande vid genomförande av såväl säkerhetsskyddad som generell it-upphandling och outsourcing-projekt:
•Ställ tydliga och relevanta krav på leverantörer utifrån de säkerhetsbehov som identifierats vid säkerhetsanalysen.
•Exempel på generella krav som bör ställas är att leverantören ska följa ISO-standarden för informationssäkerhet eller någon annan likvärdig standard, att leverantören ska tillhandahålla en särskild kontaktperson för informationssäkerhetsfrågor, att det ska finnas möjligheter till granskning av leverantörens säkerhetsarbete, etcetera.
Beroende på säkerhetsbehov bör även mer konkreta krav ställas på hur informationen ska hanteras, exempelvis gällande åtkomst till informationen, hur loggning ska ske och granskas, krav på säkerhetskopiering, hur incidenter ska rapporteras och hanteras, i vilken omfattning leverantören får anlita underleverantörer och vilka krav som ska ställas på dessa.
•Ingå personuppgiftsbiträdesavtal för att säkerställa att de personuppgifter som eventuellt kommer att behandlas av leverantören får likvärdigt skydd hos leverantören som hos myndigheten.
•Teckna sekretessbevis med företagsledningen, företagets säkerhetschef och personal som ska delta i projektet. Ett sekretessbevis är ett intyg att en individ har informerats om att sekretess föreligger för viss information eller verksamhet som bedrivs inom ramen för projektet samt om sekretessens räckvidd.
•Säkerställ att alla personer som ska delta i projektet eller vid outsourcingen utbildas i tystnadsplikt, informationssäkerhet och eventuellt genomgår säkerhetsskyddsutbildning.
•Utvärdera och följ upp säkerhetsskyddsarbetet såväl löpande som efter avtalsslut. Vad har fungerat bra och vad finns det för förbättringsåtgärder?
•Var särskilt försiktig och tänk efter extra vid outsourcing till utländska leverantörer.
Fredrik Olsson och Rebecka Norell
Setterwalls Advokatbyrå
