Skip to content
  • Om oss
  • Kontakta oss
  • Nyhetsbrev
  • Annonsera
Upphandling24
  • Nyheter
    • Debatt
    • Expertsvar
    • LOU
    • Nya LOU
    • Förvaltningsrätten
    • Direktupphandling
    • Överprövning
    • Ramavtal
    • Juridisk krönika
    • Rättsfallsanalys
  • Karriär
    • Lönestatistik
    • Lediga jobb
    • Platsannonsera
    • Student
    • Utbildningar
  • Konferens
  • Utbildning
  • Nätverk
  • Kompendier
  • Om oss
    • Om oss
    • Kontakta oss
    • Nyhetsbrev
  • Annonsera
    • Annonsera
    • Platsannonsera

Checklista för säkerhetsfrågor vid it-upphandlingar

JuridikMyndigheters hantering av säkerhetsfrågor i samband med it-upphandlingar och outsourcing är ett fortsatt högaktuellt ämne. Fredrik Olsson och Rebecka Norell presenterar en enkel checklista över kontrollfrågor för upphandlande myndigheter inför en it-upphandling eller ett outsourcing-projekt.

| 2019-02-18
Fredrik Olsson och Rebecka Norell, Setterwalls Advokatbyrå.

Den absolut första frågan som upphandlaren bör ställa sig är om det är lämpligt eller överhuvudtaget möjligt att genomföra it-upphandlingen med hänsyn till den information som kommer att behöva hanteras av leverantören och hur kritiskt systemet är för myndighetens verksamhet. Det är också viktigt att inför en it-upphandling eller ett outsourcing-projekt genomföra en riskanalys och informationsklassning samt säkerställa att tillräcklig säkerhetskompetens finns i projektet.

Förutsatt att en it-upphandling är lämplig och laglig att genomföra kan följande riktlinjer eller ”checklista” användas som vägledning.

Utför en specifik säkerhetsanalys inför varje upphandlings- eller outsourcingprojekt. Analysen bör besvara åtminstone följande frågor: Vilken typ av information och verksamhet omfattas av upphandlingen eller projektet? Vad behöver informationen och verksamheten skyddas mot? På vilket sätt bör den skyddas? Ska upphandlingen genomföras som en säkerhetsskyddad upphandling?

Om projektet omfattar uppgifter som är sekretessbelagda, eller leverantören under uppdragets genomförande kommer att delta i verksamhet som rör rikets säkerhet, kan upphandlingen behöva utföras i enlighet med säkerhetsskyddslagen och reglerna om säkerhetsskyddad upphandling.

Från och med den 1 april 2018 gäller att statliga myndigheter, som tänker genomföra en säkerhetsskyddad upphandling där leverantören kommer att hantera och/eller förvara hemliga uppgifter utanför myndighetens lokaler, ska utföra en säkerhetsanalys i samråd med sin tillsynsmyndighet, Säkerhetspolisen eller Försvarsmakten.

Det är också viktigt att känna till att en ny säkerhetsskyddslag träder i kraft den 1 april 2019. Den nya lagen medför en utvidgning av säkerhetsskyddslagens tillämpningsområde och ett förtydligande att lagen också gäller för enskild verksamhet.

Om upphandlingen genomförs som säkerhetsskyddad upphandling bör följande åtgärder vidtas:

•Ingå säkerhetsskyddsavtal innan hemliga uppgifter lämnas till eller affärsavtal ingås med leverantören och underrätta Säkerhetspolisen om att säkerhetsskyddsavtal har ingåtts.

•Säkerhetsskyddsavtal finns på tre olika nivåer, där nivå 1 ingås när hemliga uppgifter ska hanteras och/eller förvaras utanför myndighetens lokaler, nivå 2 när uppgifterna hanteras i myndighetens lokaler eller i lokaler som anvisats av myndigheten och nivå 3 när en leverantör kan komma att få ta del av hemliga uppgifter i myndighetens lokaler eller i lokaler som anvisats av myndigheten.

Bedöm vilken nivå av säkerhetsskyddsavtal som ska ingås och anpassa innehållet till den specifika situationen. Se till att de säkerhetsskyddskrav som ställs i säkerhetsskyddsavtalet kan kontrolleras och följas upp.

•Utför säkerhetsprövning och registerkontroll av företagsledningen, leverantörens säkerhetschef och den personal som kommer att ta del av hemliga uppgifter eller handlingar inom ramen av projektet och placera personerna i säkerhetsklass. Säkerhetsprövning och registerkontroll ska utföras med hänsyn till individernas personliga integritet och ska inte göras mer långtgående än nödvändigt.

Följande bör även tas i beaktande vid genomförande av såväl säkerhetsskyddad som generell it-upphandling och outsourcing-projekt:

•Ställ tydliga och relevanta krav på leverantörer utifrån de säkerhetsbehov som identifierats vid säkerhetsanalysen.

•Exempel på generella krav som bör ställas är att leverantören ska följa ISO-standarden för informationssäkerhet eller någon annan likvärdig standard, att leverantören ska tillhandahålla en särskild kontaktperson för informationssäkerhetsfrågor, att det ska finnas möjligheter till granskning av leverantörens säkerhetsarbete, etcetera.

Beroende på säkerhetsbehov bör även mer konkreta krav ställas på hur informationen ska hanteras, exempelvis gällande åtkomst till informationen, hur loggning ska ske och granskas, krav på säkerhetskopiering, hur incidenter ska rapporteras och hanteras, i vilken omfattning leverantören får anlita underleverantörer och vilka krav som ska ställas på dessa.

•Ingå personuppgiftsbiträdesavtal för att säkerställa att de personuppgifter som eventuellt kommer att behandlas av leverantören får likvärdigt skydd hos leverantören som hos myndigheten.

•Teckna sekretessbevis med företagsledningen, företagets säkerhetschef och personal som ska delta i projektet. Ett sekretessbevis är ett intyg att en individ har informerats om att sekretess föreligger för viss information eller verksamhet som bedrivs inom ramen för projektet samt om sekretessens räckvidd.

•Säkerställ att alla personer som ska delta i projektet eller vid outsourcingen utbildas i tystnadsplikt, informationssäkerhet och eventuellt genomgår säkerhetsskyddsutbildning.

•Utvärdera och följ upp säkerhetsskyddsarbetet såväl löpande som efter avtalsslut. Vad har fungerat bra och vad finns det för förbättringsåtgärder?

•Var särskilt försiktig och tänk efter extra vid outsourcing till utländska leverantörer.

Fredrik Olsson och Rebecka Norell

Setterwalls Advokatbyrå

Läs mer: It-upphandlingsäkerhetsskyddad upphandling

Redaktionen

Kommentatorerna ansvarar för sina egna kommentarer

Lämna ett svar Avbryt svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *

Missa inte

Prenumerera på vårt nyhetsbrev!

En gång i veckan får du ett mejl med de viktigaste nyheterna i upphandlingsvärlden. Du får också information om våra kommande evenemang.

Fler nyheter

Foto: Mostphotos

Farliga ämnen i barns lekmiljö

Farliga ämnen i var tionde produkt. Det blev resultatet när Kemikalieinspektionen undersökte 90 produkter kopplade till barns offentliga miljöer. ”Ansvaret ligger på tillverkarna. Men upphandlarna har också en viktig roll, säger inspektören Mariana Pilenvik, som särskilt varnar för produkter av återvunna däck.

Vill slippa skrota prototyper

Upphandlingsmyndigheten ska inrätta en arena för innovationsupphandling. ”Genom att tidigt ta in upphandling som en del i innovationssystemet minimerar vi risken för prototypkyrkogårdar”, säger Anna Möller Wrangel, chef för strategienheten.

Foto: Henrik Hedman.

Kräver klarhet om nya tågen

Affären med fem motorvagnståg skenar kostnadsmässigt och sätter klassiska Inlandsbanan i bryderier. Nu kommer ägarkrav på en översyn om lagstiftningen följts.

Kräver tillbaka EU-stöd

Ingen LOU eller LUF – inget stöd. Umeå och Sundsvall är två kommuner som får känna av Tillväxtverkets hårda linje.

Brittisk strid når Sverige

Uppdaterat

En hätsk arbetsmarknadskonflikt i Manchester får en ny spelplan i form av upphandlad kollektivtrafik i Sverige. Brittiska Unite tar ett ovanligt grepp för att försöka blockera Go Aheads entré på den svenska marknaden.

Hållbarhet kan ge lägre kostnader

Hållbara livsmedel behöver inte vara dyrt. Ett strategiskt hållbarhetsarbete kan snarare ge lägre kostnader för många inköp. Det är slutsatsen i en rapport från Upphandlingsmyndigheten.

Lediga jobb

Strategisk upphandlare till Socialstyrelsen

  • Upphandlare/inköpare till Medicinsk Diagnostik Karolinska
  • Senior Upphandlare till Svefa i Göteborg
  • Upphandlingsjurister till Statens inköpscentral
  • Göteborgs Stad söker upphandlingsjurist med förvaltningsjuridisk inriktning
  • SKL Kommentus Inköpscentral söker Upphandlare
  • Upphandlare till SISAB
  • Region Jämtland Härjedalen söker Upphandlare för fastighetsrelaterade upphandlingar
  • Chalmers söker Upphandlare
  • Halmstad kommun söker Avtalscontroller
  • Halmstad kommun söker Upphandlare
  • Upphandlare inom IT till Helsingborgshem
  • Folkhälsomyndigheten söker Upphandlare
  • Telge söker Senior entreprenadinköpare

Senaste nyheterna

Farliga ämnen i barns lekmiljö Farliga ämnen i barns lekmiljö
Vill slippa skrota prototyper Vill slippa skrota prototyper
Kräver klarhet om nya tågen Kräver klarhet om nya tågen
Kräver tillbaka EU-stöd Kräver tillbaka EU-stöd
Brittisk strid når Sverige Brittisk strid når Sverige
Hållbarhet kan ge lägre kostnader Hållbarhet kan ge lägre kostnader
Samling kring e-handel Samling kring e-handel
Vill involvera politikerna Vill involvera politikerna

Senaste kommentarerna

  • Avfallsbolag kan få böta 11 miljoner@Urban "Kanske myndigheters inköpsorganisationer generellt behöver fundera över vilka attityder som är eftersträvansvärda och vilka deras egentliga uppgifter är?" Nja...
  • Vägleder om cirkulär ekonomiDet mesta som köps har oavsett seriösa ambitioner vid inköp tillverkats av giriga företag som lagt tillverkning av delar eller...
  • Avfallsbolag kan få böta 11 miljonerJag håller med om att det allmänna förtroendet för det offentliga påverkas negativt av dåligt skötta affärer och övriga mindre...
  • Avfallsbolag kan få böta 11 miljonerJag håller med om att det allmänna förtroendet för det offentliga påverkas negativt av dåligt skötta affärer och övriga mindre...
  • Avfallsbolag kan få böta 11 miljonerOavsett vad som gått fel så är det naturligtvis viktigt att det får konskevenser för de ansvariga personligen. Det "gamla"...

Shortcodes Ultimate

Aktuella utbildningar

  • Kvalificerad IT-upphandlare | 21-22 april
  • Praktisk avtalsrätt inom LOU och LUF | 11 maj
  • Förhandling som redskap inom offentlig upphandling | 25 maj
  • Få fart på er avtals­förvaltning | 12 oktober
  • Leda upphandlingar effektivt | 14 oktober
  • Kvalificerad entreprenad­upphandlare | 20-21 oktober
  • Säkerhetsskyddad upphandling | 9 november
  • Anbuds­utvärdering – med utvärderings­modeller och -kriterier | Hösten 2021

Guide – upphandla moduler

Upphandling24 har tillsammans med bolag i branschen tagit fram en guide för att upphandla moduler. Läs hela den 13-sidiga pdf:en och få tips och råd från upphandlare, leverantörer och jurister. Guiden är kostnadsfri.

Annons

Tryggare avtal för båda parter

Aff har revolutionerat avtal och upphandlingar för tjänsteentreprenader. ”Nyckeln till framgång är att branschens parter tillsammans står bakom Aff”, säger advokaten Pehr Jacobson, som utvecklat konceptet sedan starten 1995.

Nyhetsbrev

Prenumerera på vårt nyhetsbrev!

En gång i veckan får du ett mejl med de viktigaste nyheterna i upphandlingsvärlden. Du får också information om våra kommande evenemang.

Prenumerera, nyhetsbrev
Typ av verksamhet *
Specialområde
Jag godkänner att mina uppgifter lagras (integritespolicy) *

Om Upphandling24

Upphandling24 ges ut av PMP Public Media Partner AB. Ansvarig utgivare: Helle Kierkegaard

 

Kontaktuppgifter

Postadress: Upphandling24, Mariebergsgatan 15, 112 19 Stockholm
Besöksadress: Tegnérgatan 39,  Stockholm

Länkar

Personuppgiftspolicy »
Prenumerera på nyhetsbrev »
Annonsera »