Skip to content
  • Om oss
  • Kontakta oss
  • Nyhetsbrev
  • Annonsera
Upphandling24
  • Nyheter
    • Debatt
  • Karriär
    • Lönestatistik
    • Lediga jobb
    • Månadens profil
    • Platsannonsera
    • Student
    • Utbildningar
  • Konferens
  • Utbildning
    • AI för upphandlare
    • Avtalsuppföljning med AI
    • Entreprenadupphandling och AMA AF
    • Dialogförfaranden
    • Kvalificerad entreprenadupphandlare
    • Kvalificerad IT-upphandlare
    • Leda upphandlingar effektivt
    • LOU på två dagar
    • Robusta IT-avtal
    • Säkerhetsskyddad upphandling
  • Nätverk
    • Upphandlare
    • Avtalsuppföljning
    • Entreprenadupphandlare
    • IT-upphandlare
  • Om oss
    • Om oss
    • Kontakta oss
    • Nyhetsbrev
  • Annonsera
    • Annonsera
    • Platsannonsera

Checklista för säkerhetsfrågor vid it-upphandlingar

JuridikMyndigheters hantering av säkerhetsfrågor i samband med it-upphandlingar och outsourcing är ett fortsatt högaktuellt ämne. Fredrik Olsson och Rebecka Norell presenterar en enkel checklista över kontrollfrågor för upphandlande myndigheter inför en it-upphandling eller ett outsourcing-projekt.

| 2019-02-18
Fredrik Olsson och Rebecka Norell, Setterwalls Advokatbyrå.

Den absolut första frågan som upphandlaren bör ställa sig är om det är lämpligt eller överhuvudtaget möjligt att genomföra it-upphandlingen med hänsyn till den information som kommer att behöva hanteras av leverantören och hur kritiskt systemet är för myndighetens verksamhet. Det är också viktigt att inför en it-upphandling eller ett outsourcing-projekt genomföra en riskanalys och informationsklassning samt säkerställa att tillräcklig säkerhetskompetens finns i projektet.

Förutsatt att en it-upphandling är lämplig och laglig att genomföra kan följande riktlinjer eller ”checklista” användas som vägledning.

Utför en specifik säkerhetsanalys inför varje upphandlings- eller outsourcingprojekt. Analysen bör besvara åtminstone följande frågor: Vilken typ av information och verksamhet omfattas av upphandlingen eller projektet? Vad behöver informationen och verksamheten skyddas mot? På vilket sätt bör den skyddas? Ska upphandlingen genomföras som en säkerhetsskyddad upphandling?

Om projektet omfattar uppgifter som är sekretessbelagda, eller leverantören under uppdragets genomförande kommer att delta i verksamhet som rör rikets säkerhet, kan upphandlingen behöva utföras i enlighet med säkerhetsskyddslagen och reglerna om säkerhetsskyddad upphandling.

Från och med den 1 april 2018 gäller att statliga myndigheter, som tänker genomföra en säkerhetsskyddad upphandling där leverantören kommer att hantera och/eller förvara hemliga uppgifter utanför myndighetens lokaler, ska utföra en säkerhetsanalys i samråd med sin tillsynsmyndighet, Säkerhetspolisen eller Försvarsmakten.

Det är också viktigt att känna till att en ny säkerhetsskyddslag träder i kraft den 1 april 2019. Den nya lagen medför en utvidgning av säkerhetsskyddslagens tillämpningsområde och ett förtydligande att lagen också gäller för enskild verksamhet.

Om upphandlingen genomförs som säkerhetsskyddad upphandling bör följande åtgärder vidtas:

•Ingå säkerhetsskyddsavtal innan hemliga uppgifter lämnas till eller affärsavtal ingås med leverantören och underrätta Säkerhetspolisen om att säkerhetsskyddsavtal har ingåtts.

•Säkerhetsskyddsavtal finns på tre olika nivåer, där nivå 1 ingås när hemliga uppgifter ska hanteras och/eller förvaras utanför myndighetens lokaler, nivå 2 när uppgifterna hanteras i myndighetens lokaler eller i lokaler som anvisats av myndigheten och nivå 3 när en leverantör kan komma att få ta del av hemliga uppgifter i myndighetens lokaler eller i lokaler som anvisats av myndigheten.

Bedöm vilken nivå av säkerhetsskyddsavtal som ska ingås och anpassa innehållet till den specifika situationen. Se till att de säkerhetsskyddskrav som ställs i säkerhetsskyddsavtalet kan kontrolleras och följas upp.

•Utför säkerhetsprövning och registerkontroll av företagsledningen, leverantörens säkerhetschef och den personal som kommer att ta del av hemliga uppgifter eller handlingar inom ramen av projektet och placera personerna i säkerhetsklass. Säkerhetsprövning och registerkontroll ska utföras med hänsyn till individernas personliga integritet och ska inte göras mer långtgående än nödvändigt.

Följande bör även tas i beaktande vid genomförande av såväl säkerhetsskyddad som generell it-upphandling och outsourcing-projekt:

•Ställ tydliga och relevanta krav på leverantörer utifrån de säkerhetsbehov som identifierats vid säkerhetsanalysen.

•Exempel på generella krav som bör ställas är att leverantören ska följa ISO-standarden för informationssäkerhet eller någon annan likvärdig standard, att leverantören ska tillhandahålla en särskild kontaktperson för informationssäkerhetsfrågor, att det ska finnas möjligheter till granskning av leverantörens säkerhetsarbete, etcetera.

Beroende på säkerhetsbehov bör även mer konkreta krav ställas på hur informationen ska hanteras, exempelvis gällande åtkomst till informationen, hur loggning ska ske och granskas, krav på säkerhetskopiering, hur incidenter ska rapporteras och hanteras, i vilken omfattning leverantören får anlita underleverantörer och vilka krav som ska ställas på dessa.

•Ingå personuppgiftsbiträdesavtal för att säkerställa att de personuppgifter som eventuellt kommer att behandlas av leverantören får likvärdigt skydd hos leverantören som hos myndigheten.

•Teckna sekretessbevis med företagsledningen, företagets säkerhetschef och personal som ska delta i projektet. Ett sekretessbevis är ett intyg att en individ har informerats om att sekretess föreligger för viss information eller verksamhet som bedrivs inom ramen för projektet samt om sekretessens räckvidd.

•Säkerställ att alla personer som ska delta i projektet eller vid outsourcingen utbildas i tystnadsplikt, informationssäkerhet och eventuellt genomgår säkerhetsskyddsutbildning.

•Utvärdera och följ upp säkerhetsskyddsarbetet såväl löpande som efter avtalsslut. Vad har fungerat bra och vad finns det för förbättringsåtgärder?

•Var särskilt försiktig och tänk efter extra vid outsourcing till utländska leverantörer.

Fredrik Olsson och Rebecka Norell

Setterwalls Advokatbyrå

Läs mer: It-upphandlingsäkerhetsskyddad upphandling

Redaktionen

red@uh24.se

Kommentatorerna ansvarar för sina egna kommentarer

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *

Senaste inläggen

  • Väntan till i höst på nya direktiv
  • Tar plats som hedersmedlem
  • Upphandlingsmiss för 26 miljoner
  • Lotten föll – vinnaren hoppade av
  • Tre poddar för hängmattan

Lediga jobb

Norrköpings kommun söker inköps- och upphandlingsassistent

Verksjurister inom upphandling till Svenska kraftnät

Senior upphandlare inom entreprenad – Telge Inköp

Senaste nyheterna

Väntan till i höst på nya direktiv
Tar plats som hedersmedlem
Norrköpings kommun söker inköps- och upphandlingsassistent
Upphandlingsmiss för 26 miljoner
Avtalsuppföljning med AI | 19 november
Verksjurister inom upphandling till Svenska kraftnät
Lotten föll – vinnaren hoppade av
Tre poddar för hängmattan
Nätverken sommarbanner
Utbildningar sommarbanner
Tunt facit för brottsbekämpning
EUSveriges önskelista till EU
Reder ut statistiken
För stor fil företagets fel
“Lång ledighet inte alltid bäst”
Otillräcklig avtalsuppföljning urholkar vitets roll 
Polisanmäls efter kajupphandling
Elbussar ritade om upphandling
StrömmerDelad info ska stoppa oseriösa
Begär svar om intern upphandling
ANNONS FRÅN UPPHANDLING24

Vägen till vinnande anbud

Den 6 oktober 2026 möts leverantörer, experter och upphandlare på Anbudsdagen, en konferens för dig som vill vässa dina anbud. Upphandling24 har fått en pratstund med Sara Andersson Marmnäs, moderator och programansvarig för en fullspäckad inspirationsdag.

Mest visade inlägg

  • Tre poddar för hängmattan
  • Upphandlingsmiss för 26 miljoner
  • Lotten föll – vinnaren hoppade av
  • Tunt facit för brottsbekämpning
  • “Lång ledighet inte alltid bäst”
  • Sveriges önskelista till EU
  • Polisanmäls efter kajupphandling
  • Väntan till i höst på nya direktiv
  • Reder ut statistiken
  • Otillräcklig avtalsuppföljning urholkar vitets roll 

Läsarnas åsikter

Stefan : Lotten föll – vinnaren hoppade av
Vän av ordning trycker på min kärnpoäng. Anbuden var inte lika, eftersom det ena uppenbarligen inte var seriöst menat när…
Vän av ordning : Lotten föll – vinnaren hoppade av
Varför diskutera lottningen i detta fall istället för ett företag som lämnar anbud och som sen hoppar av pga "Företaget…
T.E : Polisanmäls efter kajupphandling
Ska bli oerhört intressant att se hur detta utvecklas. Ansvarig projektledare har skrivit en rapport som bifogades till ett ärende…
Stefan : Lotten föll – vinnaren hoppade av
Mja, att "upphandling fungerar" på det sättet är visserligen fakta, men i vilken typ av affärer är lottning en vettig…
Gammal i gamet : Sveriges önskelista till EU
Varje gång vi får ett nytt direktiv som implementeras under parollen "det ska bli enklare" så blir de mer komplext.…
M : Sveriges önskelista till EU
Alltid välkommet med förenklade regelverk och mindre administration. Lite ironiskt blir det trots allt att regeringen efter eget misslyckande passar…
Jenny : Lotten föll – vinnaren hoppade av
Lottning är en både rimlig och rättvis väg ut om anbuden inte går att särskilja på annat sätt. Jag hoppas…
Inköpare : UHM missade att rapportera
Håller med ovanstående fullt ut. Vi alla på den inköpsenhet jag jobbar på kämpar med att komma igenom tendsigns annonseringsmodul.…
Ellen Westberg : Ett saknat upphandlingskrav som kostar mer än pengar
Oerhört viktigt! Tack Misha!
Lena wannefors : Ett saknat upphandlingskrav som kostar mer än pengar
Superviktigt !!! Låt oss göra ett medborgarärende av detta ! Ett upprop som lämnas över till ?, Riksdag, Regering !!!!…

Höstens kurser

  • Kvalificerad entreprenad­upphandlare | 20-21 okt
  • AI för upphandlare | 5 nov
  • Kvalificerad IT-upphandlare | 10-11 nov
  • Säkerhetsskyddad upphandling | 12 nov
  • Robusta IT-avtal | 17 nov
  • Entreprenadupphandling och AMA AF | 18 nov
  • Leda upphandlingar effektivt | 25 nov
  • Dialogförfaranden | 26 nov
  • LOU på två dagar | 2-3 dec