Säkerhetshot och it-attacker mot svenska företag och myndigheter har den senaste tiden uppmärksammat behovet av att tänka på säkerhetsskydd vid upphandlingar och andra affärsuppgörelser. Nu har den första boken i sitt slag – Säkerhetsskydd vid upphandling – som riktar sig både till upphandlare och experter på säkerhetsskydd kommit. Författaren Ylva Söderlund menar att båda yrkeskategorier har mycket att lära av varandra.
– För att få snurr i en organisation måste det finnas fler som kan lite av båda sidor. Man måste ha förståelse för den andres perspektiv för att kunna prata med varandra. Att beskriva helheten är det viktigaste.
Ylva Söderlund är idag konsult i säkerhetsskydd vid PWC. På vägen dit har hon skaffat sig erfarenhet av både säkerhetsskydd och upphandling som få kan matcha. Efter juristexamen och notarietjänstgöring arbetade hon på en advokatbyrå innan hon kom till Regeringskansliet. Efter sex år gick hon vidare till Försvarets Radioanstalt (FRA) där hon för första gången kom i kontakt med säkerhetsklassade upphandlingar (SUA-avtal).
Hennes expertis på inom säkerhetsklassade upphandlingar fick ordentlig fart när hon åter på Regeringskansliet, med sin erfarenhet från FRA, fick ett rykte om sig att vara kunnig inom rättsområdet. Ryktet var då kanske inte helt sant men hon märkte snabbt att SUA-avtal inte bara var något krångligt och hemligt utan även ett outforskat rättsområde som både var intressant och spännande.
– Jag hade lite beröringsskräck först när ingen annan ville ta i det, men sedan väcktes nyfikenheten. Det var ett ganska okänt rättsområde, det fanns inga rättsfall gå på och inte heller så mycket skrivet om det, berättar hon.
– Det är i sig inget nytt rättsområde men väldigt få kan påstå att de är kunniga inom det. Du måste förstå både säkerhetsskydd och upphandling, gärna även kontraktsrätt. När en organisation ska jobba med det här är det ofta ett lagarbete där någon är beställare, någon kan upphandling och någon kommer från säkerhetsskyddsorganisationen. Och det kan bli krångligt om man vet inte vem som ska göra vad.
Ylva Söderlund
Med sin bok – Säkerhetsskydd vid upphandling – vill hon hjälpa till att överbrygga de kunskapsluckor som ofta finns hos olika delar i en organisation så att kunskapen blir mer jämnt fördelad.
– De som jobbar med upphandling ska förstå säkerhetsskydd och de som jobbar med säkerhetsskydd ska förstå upphandling, förklarar hon.
Vad som utgör en säkerhetsskyddsklassad upphandling kan variera väldigt mycket. Avgörande är om det som upphandlas berör något av skyddsvärde, till exempel känslig information eller en verksamhet som är samhällskritisk såsom som transporter eller eldistribution. Eller till och med städning av ett kärnkraftverk.
– När den som upphandlar låter en tredje part ta del av säkerhetsskyddsklassificerad information ska man ha ett SUA-avtal. Det kan vara IT-upphandlingar där leverantörer får access till system eller en städfirma som ska städa lokaler och därigenom får reda på rutiner eller var saker förvaras. Det intressanta är inte upphandlingsföremålet utan vad som exponeras när en extern part kommer in i verksamheten, säger Ylva Söderlund.
En av de faktorer som gör juridiken kring SUA-avtal så speciell är bland annat att sekretessen, som måste omgärda delar av sådana upphandlingar, krockar med de allmänna principerna om öppenhet och transparens som gäller upphandlingar i stort.
– De som kommer från säkerhetsskyddssidan kan vilja ha med vissa skrivningar i upphandlingsunderlagen, medan de som kommer från upphandlingssidan säger att det inte går. Kan man exempelvis ha krav på svenskt medborgarskap hos leverantörer eller att uppgifter bara får hanteras i Sverige? Och det kan bli blir svårt med principer om öppenhet och transparens när man av sekretesskäl inte kan berätta vad det handlar om.
Enligt Ylva Söderlund händer det också massor inom rättsområdet som utvecklas snabbt just nu. I december träder omfattande lagändringar i kraft som bland annat lyfter fram säkerhetsskyddsaspekter i fler situationer än tidigare och som förtydligar tillsynsmyndighetens (Säpo och Försvarsmakten) roll, något som hon redogör för i sin bok.
– Då blir det blir än hårdare krav på att man måste beakta säkerhetsskyddsaspekter och tillsynsmyndigheten kommer att få besluta om sanktionsavgifter vid överträdelser av regelverket.
Ylva Söderlund sneglar även på vad som skedde i auktionen för nytt 5G-nät i Sverige där Post och telestyrelsen (PTS) helt enkelt pekade ut ett par aktörer som av säkerhetsskäl inte fick vara med. Ett beslut som precis har prövats i förvaltningsrätten till PTS fördel. Auktionen faller inte in under LOU men är ändå mycket intressant att följa tycker hon.
– Där gick PTS rakt av på Säpo och Försvarsmaktens linje. Jag tycker att det var ett jättehäftigt beslut där man stämmer i bäcken och tar höjd för svensk säkerhet. Men det är långtgående och jag förstår att vissa höjer på ögonbrynen.
Boken ”Säkerhetsskydd vid upphandling” ges ut av Norstedts Juridik och finns till försäljning i slutet av juli.