Nya roller vid outsourcing
Sällan har uttrycket ”på förekommen anledning” förefallit så relevant som när en promemoria angående Skärpt kontroll av statliga myndigheters utkontraktering och överlåtelse av säkerhetskänslig verksamhet presenterades och skickades på remiss i veckan. Den konspiratoriskt lagde funderar naturligtvis vid vilken tidpunkt promemorian initierades och hur diskussionen gick då . Nu är den i alla fall lagd och det är naturligtvis intressant att se på det faktiska innehållet. Redan här bör det dock poängteras att promemorian endast gäller statliga myndigheter och därför saknar relevans i den senaste veckans diskussioner om kommunernas säkerhetsskydd till exempel.
Såvitt jag kan se innehåller den egentligen bara tre förslag på förändringar i säkerhetsskyddsförordningen som innebär konkreta förändringar. För det första kompletteras rubriken för 16 § till att omfatta även utkontraktering (Överlåtelse och utkontraktering av verksamhet som drivs av det allmänna). På det sättet tydliggörs att reglerna även omfattar outsourcing av den typ som genomfördes vid Transportstyrelsen.
För det andra ska myndigheter som planerar att genomföra till exempel en outsourcing genomföra en särskild säkerhetsanalys:
undersöka och dokumentera vilka uppgifter i den verksamhet som myndigheten avser att utkontraktera som ska hållas hemliga med hänsyn till rikets säkerhet och som kräver säkerhetsskydd (särskild säkerhetsanalys)
Eftersom säkerhetsskyddsförordningen redan förutsätter att myndigheten ska ha koll på var det finns uppgifter som ska hållas hemliga bör detta i princip inte innebära något större merarbete. Redan initialt vid en planerad outsourcing bör det ju vara klart om det förekommer hemliga uppgifter eller inte i den information som ska outsourcas. Naturligtvis vet jag att det inte alltid är så i verkligheten men nu försöker jag ringa in vad som är det som kan tillkomma som nya element. Den tredje förändringen är också den som innebär den stora förändringen, nämligen att det inte, om förslaget går igenom, längre räcker att själv upplysa den enskilde outsourcingpartnern om att säkerhetsskyddslagen som gäller för utkontrakterade. Nu ska myndigheten också samråda med tillsynsmyndigheten (Försvarsmakten respektive SÄPO) om den planerade outsourcingen. Myndigheten ska alltså ta sin särskilda säkerhetsanalys till sin tillsynsmyndighet för samråd redan innan upphandling inleds. Tillsynsmyndigheten får också enligt förslaget ett mycket starkt mandat att styra upphandlingen och till och med stoppa den:
Tillsynsmyndigheten får förelägga myndigheten att vidta åtgärder enligt säkerhetsskyddslagen och de föreskrifter som har meddelats i anslutning till den lagen. Om ett föreläggande inte följs eller om tillsynsmyndigheten bedömer att säkerhetsskyddslagens
krav inte kan tillgodoses trots att ytterligare åtgärder vidtas får tillsynsmyndigheten
besluta att utkontrakteringen inte får genomföras.
Utdraget till sin konsekvens ger förslaget ett helt nytt rollspel där Försvarsmakten respektive SÄPO blir ytterst ansvariga för riskbedömningen medan myndigheten som ska outsourca i princip kan skicka in sin säkerhetsanalys och därefter sätta sig på läktaren. Detta innebär både potentiella nackdelar som att ansvarsprincipen sätts ur spel och fördelar som att det tydliggörs vem som egentligen gjort bedömningen, d.v.s. tillsynsmyndigheterna. Händer det något med den information som outsourcats och alla de åtgärder som myndigheten förelagts av SÄPO kan vad jag ser inget ansvarsutkrävande ske mot myndigheten. Hur SÄPO ska kunna hålla sig uppdaterade för att kunna göra korrekta riskbedömningar är för mig svårt att riktigt förstå. Med tanke på förslagen till utvidgning av säkerhetsskyddslagens tillämpning i förslaget till säkerhetsskyddslag där det är mycket oklart vad som ska anses påverka ”Sveriges säkerhet” ser jag framför mig en ny flaskhals i den offentliga förvaltningen när SÄPO ska döma av alla större upphandlingar. Det ska bli intressant att läsa remissvaren och se hur dessa frågor diskuteras av remissinstanserna.