Artikel | 27 Apr 2018
Informationssäkerhet vid IT-upphandlingar – nytt betänkande m.m.
Myndigheters hantering av säkerhetsfrågor i samband med IT-upphandlingar och outsourcing är ett fortsatt högaktuellt ämne. I ett färskt betänkande, ”Juridik som stöd för förvaltningens digitalisering” (SOU 2018:25), framhålls att osäkerhet kring rättsliga förutsättningar för outsourcing av IT-drift och andra IT-baserade funktioner kan hämma digitaliseringen av den offentliga sektorn. Av utredningen framgår att myndigheter delvis anser sig själva sakna den kompetens som krävs för att genomföra IT-upphandlingar på ett sätt som uppfyller alla rättsliga krav. Det råder osäkerhet kring i vilka situationer det finns rättsligt stöd i sekretesslagstiftningen att lämna ut uppgifter som omfattas av sekretess och hur röjandebegreppet ska tolkas vid outsourcing till privata leverantörer.
Mot bakgrund av detta föreslås i utredningen att en ny sekretessbrytande bestäm-melse införs. Bestämmelsen innebär att myndigheter i samband med outsourcing av enbart teknisk bearbetning eller lagring, såsom IT-drift, skanning och kommunikationstjänster, ska kunna lämna ut sekretessbelagda uppgifter till privata eller andra offentliga aktörer i den utsträckning som krävs för att leverantören ska kunna utföra uppdraget. Utredningen föreslår även att det införs en straffsanktionerad tystnadsplikt för uppgifter som omfattas av sekretess och som lämnas ut till en privat leverantör i samband med outsourcing.
Oavsett om de föreslagna lagändringarna genomförs finns det alltjämt skäl att vara på sin vakt inför IT-upphandlingar och outsourcing-projekt. Det är viktigt att inför en IT-upphandling eller ett outsourcing-projekt inledningsvis genomföra en riskanalys och informationsklassning samt säkerställa att tillräcklig säkerhetskompetens finns i projektet.
Förutsatt att en IT-upphandling är lämplig och laglig att genomföra kan följande riktlinjer eller ”check-lista” användas som vägledning.
- Utför en specifik säkerhetsanalys inför varje upphandlings- eller outsourcingprojekt. Analysen bör besvara åtminstone följande frågor: Vilken typ av information och verksamhet omfattas av upphandlingen eller projektet? Vad behöver informationen och verksamheten skyddas mot? På vilket sätt bör den skyddas? Ska upphandlingen genomföras som en säkerhetsskyddad upphandling?
Om projektet omfattar uppgifter som är sekretessbelagda med hänsyn till, eller leverantören under uppdragets genomförande kommer att delta i verksamhet som rör rikets säkerhet, kan upphandlingen behöva utföras i enlighet med säkerhetskyddslagen och reglerna om säkerhetsskyddad upphandling. Från och med den 1 april 2018 gäller att statliga myndigheter som har för avsikt att genomföra en säkerhetsskyddad upphandling där leverantören kommer att hantera och/eller förvara hemliga uppgifter utanför myndighetens lokaler, ska utföra säkerhetsanalysen i samråd med sin tillsynsmyndighet, Säkerhetspolisen eller Försvarsmakten.
Om upphandlingen genomförs som säkerhetsskyddad upphandling bör följande åtgärder vidtas:
- Ingå säkerhetsskyddsavtal innan hemliga uppgifter lämnas till eller affärsavtal ingås med leverantören och underrätta Säkerhetspolisen om att säkerhetsskyddsavtal har ingåtts.
Säkerhetsskyddsavtal finns på tre olika nivåer, där nivå 1 ingås när hemliga uppgifter ska hanteras och/eller förvaras utanför myndighetens lokaler, nivå 2 när uppgifterna hanteras i myndighetens lokaler eller i lokaler som anvisats av myndigheten och nivå 3 när en leverantör kan komma att få ta del av hemliga uppgifter i myndighetens lokaler eller i lokaler som anvisats av myndigheten. Bedöm vilken nivå av säkerhetsskyddsavtal som ska ingås och anpassa innehållet till den specifika situationen. Se till att de säkerhetsskyddskrav som ställs i säkerhetsskyddsavtalet kan kontrolleras och följas upp.
- Utför säkerhetsprövning och registerkontroll av företagsledningen, leverantörens säkerhetschef och den personal som kommer att ta del av hemliga uppgifter eller handlingar inom ramen av projektet och placera personerna i säkerhetsklass. Säkerhetsprövning och registerkontroll ska utföras med hänsyn till individernas personliga integritet och ska inte göras mer långtgående än nödvändigt.
Följande bör även tas i beaktande vid genomförande av såväl säkerhetsskyddad som generell IT-upphandling och outsourcing-projekt:
- Ställ tydliga och relevanta krav på leverantörer utifrån de säkerhetsbehov som identifierats vid säkerhetsanalysen.
Exempel på generella krav som bör ställas är att leverantören ska följa ISO-standarden för informationssäkerhet eller någon annan likvärdig standard, att leverantören ska tillhandahålla en särskild kontaktperson för informationssäkerhetsfrågor, att det ska finnas möjligheter till granskning av leverantörens säkerhetsarbete, etc. Beroende på säkerhetsbehov bör även mer konkreta krav ställas på hur informationen ska hanteras, exempelvis gällande åtkomst till informationen, hur loggning ska ske och granskas, krav på säkerhetskopiering, hur incidenter ska rapporteras och hanteras, i vilken omfattning leverantören får anlita underleverantörer och vilka krav som ska ställas på dessa, etc.
- Ingå personuppgiftbiträdesavtal för att säkerställa att de personuppgifter som eventuellt kommer att behandlas av leverantören får likvärdigt skydd hos leverantören som hos myndigheten.
- Teckna sekretessbevis med företagsledningen, företagets säkerhetschef och personal som ska delta i projektet. Ett sekretessbevis är ett intyg om att en individ har informerats om att sekretess föreligger för viss information eller verksamhet som bedrivs inom ramen för projektet samt om sekretessens räckvidd.
- Säkerställ att alla personer som ska delta i projektet eller vid outsourcingen utbildas i tystnadsplikt, informationssäkerhet och eventuellt genomgår säkerhetsskyddsutbildning.
- Utvärdera och följ upp säkerhetsskyddsarbetet såväl löpande som efter avtalsslut. Vad har fungerat bra och vad finns det för förbättringsåtgärder?
- Var särskilt försiktig och tänk efter extra vid outsourcing till utländska leverantörer.
Setterwalls följer med intresse rättsutvecklingen på området och har även praktisk erfarenhet av genomförande av komplexa IT-upphandlingar och outsourcingprojekt samt frågor relaterade till informationssäkerhet vid sådana upphandlingar. Kontakta oss gärna när det är dags för nästa upphandling.