Frukostwebinar om säkerhetsprövning – en prövning för organisationen?

Innan en person deltar i säkerhetskänslig verksamhet ska en säkerhetsprövning genomföras. Hur säkerställer man att en säkerhetsprövning sker på rätt sätt? Vad ska man tänka på inför en säkerhetsprövning?

Syftet med säkerhetsprövningen är att bedöma om personen som ska vara med i organisationen är pålitlig ur säkerhetssynpunkt. Dessutom ska personen vara lojal utifrån säkerhetsskyddslagens intressen. Vad ska man tänka på när det gäller även att utreda om det finns eventuella sårbarheter som skulle kunna göra att personen hamnar i en utsatt situation och blir sårbar för yttre påtryckningar?

Prövningen omfattar en grundutredning samt, i vissa fall registerkontroll och särskild personutredning, hos Säkerhetspolisen.

Välkomna till ett frukostwebinar om säkerhetsprövning och säkerhetsskydd.

Webinariet börjar med en föreläsning av säkerhetspolischef Klas Friberg och avslutas med en diskussion mellan Klas Friberg och David Jacoby. Webinaret kommer ge en bakgrund till säkerhetsprövning, centrala begrepp och frågor om praktiska konsekvenser för vad en säkerhetsprövning innebär.

Missade du webinaret? Det finns det tillgängligt att titta på i efterhand i några dagar.

Höstens hetaste utbildningsnyhet – säkerhetsskydd utbildningsserie,  med fördjupningskurser i högaktuella säkerhetsskyddsämnen, läs mer här.

Frågor och svar från webinariet

Fråga: Att säkerhetsskyddschefen ska vara direkt underställd verksamhetens chef: betyder det att man måste vara organisatoriskt placerad direkt under kommundirektör (för kommuner), eller går det att vara placerad under annan chef men i säkerhetsskyddsfrågor vara direkt underställd kommundirektör?

Svar: Det går bra att vara placerad under annan chef om man innehar andra roller. I rollen som säkerhetsskyddschef ska man vara direkt underställd kommundirektör.

–

Fråga: Förändringen i säkerhetsskyddslagen kommer öppna för förelägganden och vite. Detta är skrivit i proppen mot verksamhetsutövaren. Verksamhetsutövare är inte klart definierat i lagen men genom den nomenklatur som används är tolkningen att detta är den som äger den säkerhetskänsliga verksamheten och den så då tecknar SUA-avtalet med SUA-leverantören. Som det är skrivet borde inte föreläggande och vite slå mot SUA-leverantörer. Hur kan detta komma att slå mot SUA-leverantörer? Får verksamhetsutövaren rätt att utdöma vite via SUA-avtalet?

Svar: Det är endast tillsynsmyndigheterna som har rätt att besluta om vitessanktionerade åtalsförelägganden. Rätten gäller dock inte gentemot SUA-leverantören, i lagrådsremissen kallad ”aktör”. Aktören är däremot skyldig att på tillsynsmyndighetens begäran tillhandahålla information och ge tillträde till vissa utrymmen om myndigheten vill undersöka om den verksamhetsutövare som aktören har ingått säkerhetsskyddsavtal med uppfyller sina skyldigheter.

Aktören kan dock indirekt drabbas om verksamhetsutövaren åläggs med föreläggande eftersom de utökade kraven då också kan bli aktuella för aktören. Ett förfarande mellan en verksamhetsutövare och den aktör som säkerhetsskyddsavtalet är upprättat med kan också ytterst förbjudas av tillsynsmyndigheten om förfarandet anses olämpligt.

–

Fråga: En säkerhetsprövning ska bedöma lojalitet, pålitlighet och sårbarheter. Sårbarheten går inte att bedöma utan att ha tillgång till vilka hot som riktas med skyddsvärdena. Dessa kan vi som SUA-leverantör aldrig få tillgång till. Borde inte protokollet från säkerhetsprövningsintervjun alltid överlåtas till verksamhetsutövaren för beslut?

Svar: Just eftersom leverantören oftast inte har tillgång till exakta uppgifter om hotbild kan detta upplevas som ett problem. Sårbarheter är dock inte nödvändigtvis kopplade till ett specifikt hot. Att exempelvis ha stora skulder, umgås med kriminella eller vara beroende av narkotika är sårbarheter i sig. Detta alldeles oavsett om det finns eller inte finns någon antagonistisk aktör med avsikt och förmåga att utnyttja sårbarheterna.

Det är dock alltid verksamhetsutövaren som har det yttersta ansvaret för säkerhetsskyddet och kraven i säkerhetsskyddsavtalet ska också preciseras utifrån de behov som finns. Exempelvis nivåer på säkerhetsklasser på befattningar. Verksamhetsutövaren är också den som har ansvar för beslut om anställningar eller deltagande kopplat till säkerhetskänslig verksamhet, även om beslut delegeras till underleverantör.

–

Fråga: Något väldigt centralt i säkerhetsprövningen är registerkontrollen. Av erfarenhet vet jag att detta register inte är 100%. Det finns personer som har fallit bort och det finns de som inte blivit avregistrerade. Som säkerhetsskyddschef hos en SUA-leverantör – varför kan jag inte få reda på vilka i min organisation som omfattas av registerkontroll?

Svar: Alla som är placerade i en befattning som är säkerhetsklassad omfattas av registerkontroll. Vilka befattningar som är säkerhetsklassade ska framgå av säkerhetsskyddsavtalet.

–

Fråga: När man genom SUA lagt ansvar på leverantör att sköta grundutredning med intervju, och deras säkerhetsskyddschef inte vill kontrollera öppna källor såsom sociala medier, pga deras roll som arbetsgivare. Väger då säkerhetsskyddslagen tyngre och företagets säkerhetsskyddschef har rätt att göra dessa kontroller?

Svar: Ja, det är inte bara en rättighet utan även en skyldighet att genomföra sådana kontroller.