Säkerhetskänslig verksamhet och utländska leverantörer – inte i vilket land som helst!
Vad innebär kravet på internationellt säkerhetsskyddsåtagande och varför behövs det? Gäller bestämmelsen endast informationsutbyte? Vilka konsekvenser medför bestämmelsen för svenska verksamhetsutövare och gäller villkoret både för allmänna och enskilda verksamhetsutövare? Detta är några av de frågor jag tänkte diskutera och utveckla kring i detta blogginlägg.
I vår globaliserade värld som snabbt digitaliseras är det inte ovanligt att svenska myndigheter som bedriver säkerhetskänslig verksamhet anlitar utländska leverantörer. Leverantörskedjan kan vara omfattande och involvera utländska företag. Om affärsupplägget förutsätter utbyte av säkerhetsskyddsklassificerade uppgifter, måste en svensk beställare ha klart för sig i vilket land leverantören är registrerad. För att få lämna ut säkerhetsskyddsklassificerade uppgifter till utländska myndigheter, mellanfolkliga organisationer eller utländska leverantörer måste det nämligen från och med den 1 januari 20251 finnas ett internationellt säkerhetsskyddsåtagande mellan Sverige och det land som aktören är registrerad i.
Vad innebär kravet på internationellt säkerhetsskyddsåtagande och varför behövs det?
Ett internationellt säkerhetsskyddsåtagande är ett folkrättsligt bindande traktat, det vill säga ett åtagande som innehåller förpliktelser för Sverige som stat. Juridiskt sett är åtagandet den yttersta garantin att uppgifterna hanteras säkert enligt ländernas säkerhetsskyddslagstiftning. Ungefär hälften av åtagandena som Sverige har ingått gäller endast försvarsområdet och återstoden gäller både försvarsområdet och det civila området. Säkerhetspolisen har nyligen uppmärksammat detta på sin webbplats under rubriken ”Internationella överenskommelser om säkerhetsskydd”. Det är mycket välkommet med en officiell tolkning av dessa åtaganden.
Gäller bestämmelsen endast informationsutbyte?
Villkoret om internationellt säkerhetsskyddsåtagande gäller enligt bestämmelsens ordalydelse endast informationsutbyte, det vill säga utlämnande av säkerhetsskyddsklassificerade uppgifter från en svensk verksamhetsutövare till en utländsk aktör. Motsatsvis så behövs inte ett åtagande om den utländska aktören har tillgång till säkerhetskänslig verksamhet i Sverige. Detta borde ha sin förklaring i att internationella säkerhetsskyddsåtaganden endast reglerar informationsutbyte, inte tillgång till säkerhetskänslig verksamhet.
Som bestämmelsen är utformad nu, behöver alltså inte en utländsk leverantör, som har tillgång till säkerhetskänslig verksamhet, kontrolleras enligt sitt lands säkerhetsskyddslagstiftning. Bestämmelsen får därför anses skilja sig från säkerhetsskyddslagstiftningens systematik i övrigt som innebär skydd mot en leverantörs tillgång till säkerhetskänslig verksamhet.
Vilka konsekvenser medför bestämmelsen för svenska verksamhetsutövare?
På Säkerhetspolisens hemsida framgår att Sverige saknar internationellt säkerhetsskyddsåtagande för civila samarbeten med exempelvis Kanada. Om till exempel en svensk civil myndighet har ingått ett leveransavtal med en kanadensisk leverantör och uppdraget förutsätter att myndigheten lämnar ut säkerhetsskyddsklassificerade uppgifter, kommer myndigheten inte att leva upp till villkoret i säkerhetsskyddsförordningen. Detta förutsatt att Sverige fortsatt saknar internationellt säkerhetsskyddsåtagande med Kanada den 1 januari 2025. Fortsätter avtalet att löpa och säkerhetsskyddsklassificerade uppgifter alltjämt lämnas ut står det i strid med säkerhetsskyddsförordningen. Detta har säkert vissa verksamhetsutövare uppmärksammat. Men frågan är om anpassning av leverantörskedjor hinns med fram till 2025? I upphandlingssammanhang talar man om tekniska skäl som undantag till konkurrensutsättning. Det kanske bara finns en leverantör som har kompetens att utföra arbetet som tillhandahåller det som ska upphandlas. Om den leverantören finns i ett land som Sverige saknar internationellt säkerhetsskyddsåtagande med uppstår en problematisk situation.
Gäller villkoret både för allmänna och enskilda verksamhetsutövare?
Om ett företag tvingas bryta ett avtal med en viktig utländsk leverantör på grund av att Sverige saknar ett internationellt säkerhetsskyddsåtagande med det land leverantören är registrerad i kan det vara mycket betungande för det enskilda företaget. Det kanske till och med innebär att företagets värde minskas. I regel gäller att betungande offentligrättsliga bestämmelser för enskilda ska anges i lagform. Det kan därför på goda skäl argumenteras för att villkoret på internationellt säkerhetsskyddsåtagande vid utlämnande av säkerhetsskyddsklassificerade uppgifter endast gäller myndigheter, kommuner och regioner, då den aktuella bestämmelsen återfinns i säkerhetsskyddsförordningen. Det gäller så länge bestämmelsen inte är angiven i lag. Fram till dess att så eventuellt sker strider bestämmelsen mot den grundläggande principen om att säkerhetsskyddet ska vara lika oavsett i vilken form verksamheten bedrivs.
Sammanfattningsvis finns det behov av att regleringen kompletteras för att bättre införlivas i säkerhetsskyddslagstiftningens systematik. Det gäller både bestämmelsens omfattning och för vem den gäller för. Som väl är har regeringen några år på sig fram till den 1 januari 2025 att göra just det!
På Knowit är vi vana att arbeta med säkerhetsskydd och våra specialister stöttar kunder i alla olika delar under regelverket, oavsett om det handlar om analyser, ledningssystem, juridiska bedömningar eller utformande och implementation av åtgärder. Ta gärna kontakt med vårt säkerhetsskyddsteam om du vill prata om internationella säkerhetsskyddsåtaganden specifikt eller om säkerhetsskydd generellt. Mer information om våra tjänster inom säkerhetsskydd hittar du här.
1SFS 2021:157