Kompletteringar till regelverket om säkerhetsskydd i riksdagen och dess myndigheter (Framställning 2021/22:RS5)

Framställning till riksdagen 2021/22:RS5

Kompletteringar till regelverket om säkerhetsskydd i riksdagen och dess myndigheter

Framställningens huvudsakliga innehåll

För att stärka skyddet för Sveriges säkerhet föreslår riksdagsstyrelsen ändringar i lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter samt i säkerhetsskyddslagen (2018:585). Ändringarna innebär bl.a. följande:

•För att uppnå ett skydd liknande det som tillsyn enligt säkerhetsskyddslagen ger, ska det ske en granskning av myndigheternas efterlevnad av regelverket om säkerhetsskydd samt av det interna regelverkets ändamålsenlighet.

•Riksdagsförvaltningen, Riksbanken, Riksdagens ombudsmän respektive Riksrevisionen ska ha en säkerhetsskyddschef.

•Det införs en skyldighet att skyndsamt anmäla säkerhetshotande händelser och verksamhet i den egna verksamheten till Säkerhetspolisen.

•Riksdagens myndigheter ska ingå säkerhetsskyddsavtal i fler situationer.

•Riksdagens myndigheter ska göra en särskild säkerhetsskyddsbedömning och pröva lämpligheten av utkontrakteringar och liknande förfaranden som kräver säkerhetsskyddsavtal, samt i vissa fall samråda med Säkerhetspolisen.

•Nuvarande ansvarsfördelning vid säkerhetsprövning av partikanslianställda kvarstår men regleras i lag.

•Det införs en bestämmelse i lagen om säkerhetsskydd i riksdagen och dess myndigheter om tystnadsplikt för partikanslianställda för säkerhetsskyddsklassificerade uppgifter som dessa har fått del av vid deltagande i riksdagens eller Riksdagsförvaltningens säkerhetskänsliga verksamhet.

Förutom ändringar i säkerhetsskyddslagen och i lagen om säkerhetsskydd i riksdagen och dess myndigheter föreslår riksdagsstyrelsen en följdändring i

2021/22:RS5	FRAMSTÄLLNINGENS HUVUDSAKLIGA INNEHÅLL
	lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsför-
	ordning. Lagändringarna föreslås träda i kraft den 1 juli 2022.

2021/22:RS5

Innehållsförteckning
1 Förslag till riksdagsbeslut ............................................................................		5
2 Lagtext.........................................................................................................		6
2.1	Förslag till lag om ändring i lagen (2019:109) om
säkerhetsskydd i riksdagen och dess myndigheter .......................................		6
2.2	Förslag till lag om ändring i säkerhetsskyddslagen (2018:585)............	12
2.3	Förslag till lag om ändring i lagen (2018:218) med
kompletterande bestämmelser till EU:s dataskyddsförordning ..................		13
3 Ärendet och dess beredning.......................................................................		14
4 Gällande rätt ..............................................................................................		16
4.1	Framväxten av säkerhetsskyddslagen (2018:585) och lagen
(2019:109) om säkerhetsskydd i riksdagen och dess myndigheter.............		16
4.2	Vem regleringen gäller för ...................................................................	17
4.3	Vad som avses med säkerhetsskydd m.m.............................................	18
4.4	Skyldigheter för den som bedriver säkerhetskänslig verksamhet
respektive utformningen av säkerhetsskyddet ............................................		19
4.5	Säkerhetsskyddsåtgärder ......................................................................	21
4.6	Säkerhetsskyddsklassificering..............................................................	21
4.7	Anmälningsplikt ...................................................................................	21
4.8	Säkerhetsskyddschef ............................................................................	22
4.9	Säkerhetsprövning................................................................................	23
4.10 Säkerhetsskyddsavtal..........................................................................		27
4.11 Internationell säkerhetsskyddssamverkan och säkerhetsintyg ............		31
4.12 Tillsyn och administrativa sanktionsavgifter enligt
säkerhetsskyddslagen .................................................................................		32
4.13 Övriga bestämmelser av intresse, däribland tystnadsplikt enligt
säkerhetsskyddslagen .................................................................................		33
5 Det behövs nya bestämmelser i lagen om säkerhetsskydd i
riksdagen och dess myndigheter ...................................................................		35
5.1	Säkerhetsskyddets betydelse måste lyftas upp......................................	35
5.2	Den lägstanivå som lagstiftaren har lagt fast genom
säkerhetsskyddslagen bör gälla hela statsförvaltningen .............................		35
5.3	Nämndmyndigheterna omfattas av merparten av de nya
bestämmelserna ..........................................................................................		36
6 Granskning för att uppnå ett skydd liknande tillsyn enligt
säkerhetsskyddslagen....................................................................................		37
6.1	Granskning av efterlevnaden av säkerhetsskyddsbestämmelserna
och deras ändamålsenlighet........................................................................		37
6.2	Riksdagens myndigheter, efter samråd med Säkerhetspolisen,
och säkerhetsskyddschefen har ansvar för granskningen ...........................		40

6.3Riksdagsförvaltningen, Riksbanken, Riksdagens ombudsmän och Riksrevisionen ska lämna en redovisning till riksdagen om vilka

granskningar som har beslutats .................................................................	47
7 Riksdagsförvaltningen, Riksbanken, Riksdagens ombudsmän och
Riksrevisionen ska ha en säkerhetsskyddschef.............................................	49
7.1 Det finns ett behov av en säkerhetsskyddschef med ett ansvar
som inte får delegeras.................................................................................	49
7.2 Myndigheterna ska själva få avgöra den organisatoriska
placeringen .................................................................................................	53

2021/22:RS5	INNEHÅLLSFÖRTECKNING
	8 En anmälningsskyldighet för säkerhetshotande händelser och
	verksamhet införs..........................................................................................	55
	8.1 Säkerhetshotande händelser och verksamhet ska skyndsamt
	anmälas till Säkerhetspolisen......................................................................	55
	8.2 Bestämmelserna om personuppgiftsincidenter i EU:s
	dataskyddsförordning ska inte gälla vid en anmälningsskyldighet till
	Säkerhetspolisen.........................................................................................	58
	9 Nya bestämmelser införs om säkerhetsskyddsavtal ...................................	60
	9.1 Skyldigheten att ingå säkerhetsskyddsavtal utvidgas ...........................	60
	9.2 Den utvidgade skyldigheten att ingå säkerhetsskyddsavtal ska ha
	undantag .....................................................................................................	64
	9.3 Kopplingen mellan säkerhetsskyddsavtal och säkerhetsprövning
	förtydligas...................................................................................................	66
	9.4 Tydligare krav på uppföljning av och innehåll för
	säkerhetsskyddsavtal införs ........................................................................	68
	9.5 Ytterligare åtgärder för att skydda säkerhetskänslig verksamhet
	som exponeras för utomstående .................................................................	70
	10 Ansvarsfördelningen vid säkerhetsprövningen av
	partikanslianställda ska regleras i lag............................................................	73
	11 En bestämmelse införs om tystnadsplikt för partikanslianställda
	när det gäller säkerhetsskyddsklassificerade uppgifter .................................	80
	12 Ikraftträdande- och övergångsbestämmelser............................................	91
	13 Konsekvenser av förslagen ......................................................................	93
	14 Författningskommentar............................................................................	95
	14.1 Förslag till lag om ändring i lagen (2019:109) om
	säkerhetsskydd i riksdagen och dess myndigheter......................................	95
	14.2 Förslag till lag om ändring i säkerhetsskyddslagen (2018:585)........	103
	14.3 Förslag till lag om ändring i lagen (2018:218) med
	kompletterande bestämmelser till EU:s dataskyddsförordning.................	104
	Bilaga 1
	Utredningens lagförslag..............................................................................	105
	Bilaga 2
	Sammanfattning av utredningens förslag....................................................	114
	Bilaga 3
	Remissinstanser ..........................................................................................	123

2021/22:RS5

1 Förslag till riksdagsbeslut

Riksdagsstyrelsens förslag:

1.Riksdagen antar riksdagsstyrelsens förslag till lag om ändring i lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter.

2.Riksdagen antar riksdagsstyrelsens förslag till lag om ändring i säkerhetsskyddslagen (2018:585).

3.Riksdagen antar riksdagsstyrelsens förslag till lag om ändring i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning.

Stockholm den 15 december 2021

Andreas Norlén

Ingvar Mattson

Följande ledamöter har deltagit i beslutet: Andreas Norlén, ordförande, Annelie Karlsson (S), Tobias Billström (M), Erik Ezelius (S), Hans Wallmark (M), Mattias Karlsson i Norrhult (SD), Annika Hirvonen (MP), Anders W Jonsson (C), Maj Karlsson (V), Jessika Roswall (M) och Henrik Vinge (SD).

2021/22:RS5

2 Lagtext

2.1Förslag till lag om ändring i lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter

Härigenom föreskrivs i fråga om lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter

dels att nuvarande 13 och 14 §§ ska betecknas 21 respektive 22 §§, dels att 3 och 12 §§ ska ha följande lydelse,

dels att rubrikerna närmast före 13 och 14 §§ ska sättas före nya 21 respektive 22 §§,

dels att det ska införas tio nya paragrafer, 3 a, 3 b och 13–20 §§, och närmast före 3 a, 3 b, 17 och 20 §§ nya rubriker av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

3 §

Den som bedriver säkerhetskänslig verksamhet ska utreda behovet av säkerhetsskydd (säkerhetsskyddsanalys). Säkerhetsskyddsanalysen ska dokumenteras.

Med utgångspunkt i analysen ska verksamhetsutövaren planera och vidta de säkerhetsskyddsåtgärder som anges i 5–9 §§ och som behövs med hänsyn till verksamhetens art och omfattning, förekomst av säkerhetsskyddsklassificerade uppgifter och övriga omständigheter.

Verksamhetsutövaren ska kontrollera säkerhetsskyddet i den egna verksamheten och i övrigt vidta de åtgärder som krävs enligt denna lag och enligt säkerhetsskyddslagen (2018:585) i tillämpliga delar.

Verksamhetsutövaren är skyldig att skyndsamt anmäla säkerhetshotande händelser och verksamhet i den egna verksamheten till Säkerhetspolisen.

Granskning 3 a §

Som en del i kontrollen enligt 3 § tredje stycket ska en myndighet som anges i 1 §, efter samråd med Säkerhetspolisen, vid behov besluta att göra en granskning av att den verksamhet den svarar för bedrivs enligt denna lag, det regelverk som har meddelats i anslutning till lagen och säkerhetsskyddslagen (2018:585) i

2 LAGTEXT

2021/22:RS5

tillämpliga delar samt en granskning av regelverkets ändamålsenlighet.

Riksdagsförvaltningen, Riksbanken, Riksdagens ombudsmän och Riksrevisionen ska årligen skriftligen redovisa vilka granskningar som har beslutats enligt första stycket. Redovisningen ska för Riksbankens del lämnas till finansutskottet och för övriga myndigheters del till konstitutionsutskottet.

Säkerhetsskyddschef

3 b §

Vid Riksdagsförvaltningen, Riksbanken, Riksdagens ombudsmän och Riksrevisionen ska det finnas en säkerhetsskyddschef.

Säkerhetsskyddschefen ska leda och samordna säkerhetsskyddsarbetet samt granska att verksamheten bedrivs enligt denna lag, det regelverk som har meddelats i anslutning till lagen och säkerhetsskyddslagen (2018:585) i tillämpliga delar. Säkerhetsskyddschefen ska också granska regelverkets ändamålsenlighet. Detta ansvar kan inte delegeras.

12 §

Om en myndighet som anges i 1 § avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader, ska den se till att det i ett säkerhetsskyddsavtal anges hur kraven på säkerhetsskydd enligt 3 § ska tillgodoses av leverantören om

1. det i upphandlingen förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller

2. upphandlingen i övrigt avser eller ger leverantören tillgång till

2021/22:RS5	2 LAGTEXT
	säkerhetskänslig verksamhet av mot-
	svarande betydelse för Sveriges sä-
	kerhet.
	Myndigheten ska kontrollera att
	leverantören följer säkerhetsskydds-
	avtalet.

Myndigheten ska även ingå ett säkerhetsskyddsavtal med en underleverantör som anlitas för att fullgöra den andra aktörens förpliktelse, om underleverantören genom sitt uppdrag kan få en sådan tillgång till den säkerhetskänsliga verksamheten som anges i första stycket.

Ett säkerhetsskyddsavtal ska ingås innan motparten kan få tillgång till den säkerhetskänsliga verksamheten.

13§

Mellan myndigheter som anges i

1 § och mellan sådana myndigheter och andra statliga myndigheter gäller kravet på säkerhetsskyddsavtal enligt 12 § endast vid anskaffning av en vara, tjänst eller byggentreprenad.

Kravet på säkerhetsskyddsavtal enligt 12 § gäller inte heller när Riksdagsförvaltningen inom ramen för 1 § andra stycket 1 lagen (2011:745) med instruktion för Riksdagsförvaltningen tillhandahåller resurser och service för talmannens, kammarens, utskottens och övriga riksdagsorgans verksamhet samt för riksdagsledamöterna och partikanslierna.

Om det finns särskilda skäl får en myndighet som anges i 1 § i enskilda fall besluta om undantag från skyldigheten att ingå säkerhetsskyddsavtal.

14 §

Ett säkerhetsskyddsavtal ska innehålla de krav på motparten som behövs för att kraven på säkerhetsskydd enligt 3 § ska kunna tillgodoses.

2 LAGTEXT

2021/22:RS5

Ett säkerhetsskyddsavtal ska även reglera hur en myndighet som anges i 1 § ska få kontrollera att motparten följer säkerhetsskyddsavtalet och att myndigheten har rätt att revidera avtalet om det krävs på grund av ändrade förhållanden.

15§

Vid säkerhetsprövning enligt ett

säkerhetsskyddsavtal tillämpas bestämmelserna i 3 kap. säkerhetsskyddslagen (2018:585) och föreskrifter som har meddelats i anslutning till de bestämmelserna.

16 §

En myndighet som anges i 1 § ska kontrollera att motparten följer säkerhetsskyddsavtalet och revidera avtalet om det krävs på grund av ändrade förhållanden.

Om motparten inte följer säkerhetsskyddsavtalet, ska myndigheten vidta de åtgärder som behövs för att tillgodose kraven på säkerhetsskydd.

Skyldigheter inför förfaranden som kräver säkerhetsskyddsavtal

17 §

En myndighet som anges i 1 § och som avser att genomföra ett förfarande som innebär ett krav på säkerhetsskyddsavtal enligt 12 § första stycket ska göra en särskild säkerhetsskyddsbedömning och lämplighetsprövning enligt 18 §. Myndigheten ska också samråda enligt 19 §.

18 §

Innan ett sådant förfarande som avses i 12 § första stycket inleds ska en myndighet som anges i 1 § genom

2021/22:RS5

2 LAGTEXT

en särskild säkerhetsskyddsbedömning identifiera vilka säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som den andra aktören kan få tillgång till och som kräver säkerhetsskydd.

Med utgångspunkt i den särskilda säkerhetsskyddsbedömningen och övriga omständigheter ska myndigheten pröva om det planerade förfarandet är lämpligt från säkerhetsskyddssynpunkt.

Den särskilda säkerhetsskyddsbedömningen och lämplighetsprövningen ska dokumenteras.

Om lämplighetsprövningen leder till bedömningen att det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt, får det inte inledas.

19 §

Om lämplighetsprövningen enligt

18 § leder till bedömningen att det planerade förfarandet inte är olämpligt från säkerhetsskyddssynpunkt, ska myndigheten innan den inleder förfarandet samråda med Säkerhetspolisen, om det planerade förfarandet innebär att den andra aktören kan få tillgång till

1. säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre, eller

2. annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

Tystnadsplikt

20 §

En anställd vid ett sådant kansli som avses i 3 kap. 6 § lagen (2016:1109) om stöd till parti-

2 LAGTEXT

2021/22:RS5

grupperna för riksdagsledamöternas arbete i riksdagen får inte obehörigen röja eller utnyttja säkerhetsskyddsklassificerade uppgifter som han eller hon har fått del av vid deltagande i riksdagens eller Riksdags-

förvaltningens säkerhetskänsliga verksamhet.

1.Denna lag träder i kraft den 1 juli 2022.

2.Bestämmelsen i 12 § i den äldre lydelsen gäller fortfarande för säkerhetsskyddsavtal som har ingåtts före ikraftträdandet.

2021/22:RS5

2 LAGTEXT

2.2Förslag till lag om ändring i säkerhetsskyddslagen (2018:585)

Härigenom föreskrivs i fråga om säkerhetsskyddslagen (2018:585) dels att 3 kap. 4 § ska ha följande lydelse,

dels att det ska införas en ny paragraf, 3 kap. 4 c §, av följande lydelse.

Nuvarande lydelseFöreslagen lydelse

3 kap.

4 §1

Säkerhetsprövningen ska utgå från uppgifter som kommit fram när grundutredningen gjordes och den kännedom som i övrigt finns om den som ska prövas, uppgifter som har lämnats ut efter registerkontroll och särskild personutredning, arten av den verksamhet som prövningen gäller samt omständighet-

erna i övrigt.
Bedömningen görs av den som be-	Bedömningen görs av den som be-
slutar om anställning eller annat del-	slutar om anställning eller annat del-
tagande i den säkerhetskänsliga verk-	tagande i den säkerhetskänsliga verk-
samheten, om inte annat följer av	samheten, om inte annat följer av
tredje stycket, 4 a eller 4 b §.	tredje stycket, 4 a, 4 b eller 4 c §.

Om en myndighet har det bestämmande inflytandet över den prövades lämplighet att delta i säkerhetskänslig verksamhet hos en enskild verksamhetsutövare, är det i stället myndigheten som gör den slutliga bedömningen.

Om det finns anledning till det, ska en tidigare gjord bedömning av en persons lämplighet att delta i den säkerhetskänsliga verksamheten omprövas.

4 c §

Den slutliga bedömningen enligt 4 § görs av Riksdagsförvaltningen när det gäller anställda vid sådana kanslier som avses i 3 kap. 6 § lagen (2016:1109) om stöd till partigrupperna för riksdagsledamöternas arbete i riksdagen som har placerats i säkerhetsklass för deltagande i riksdagens eller Riksdagsförvaltningens verksamhet.

Denna lag träder i kraft den 1 juli 2022.

1Senaste lydelse 2021:952.

2 LAGTEXT

2021/22:RS5

2.3Förslag till lag om ändring i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning

Härigenom föreskrivs att 1 kap. 4 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

1kap. 4 §1

Artiklarna 33 och 34 i EU:s data-	Artiklarna 33 och 34 i EU:s data-
skyddsförordning tillämpas inte i	skyddsförordning tillämpas inte i
fråga om personuppgiftsincidenter	fråga om personuppgiftsincidenter
som ska rapporteras enligt säkerhets-	som ska rapporteras enligt säkerhets-
skyddslagen (2018:585) eller före-	skyddslagen (2018:585), anmälas en-
skrifter som har meddelats i anslut-	ligt lagen (2019:109) om säkerhets-
ning till den lagen.	skydd i riksdagen och dess myndig-
	heter, eller rapporteras eller anmälas
	enligt föreskrifter som har meddelats
	i anslutning till de lagarna.

Denna lag träder i kraft den 1 juli 2022.

1Senaste lydelse 2018:1248.

2021/22:RS5

3 Ärendet och dess beredning

Riksdagsstyrelsen beslutade den 10 juni 2020 om direktiv till en särskild utredare att göra en fortsatt översyn av regelverket om säkerhetsskydd i riksdagen och dess myndigheter (dnr 1971-2019/20). Bakgrunden till beslutet var att riksdagsstyrelsen i framställningen Ny lag om säkerhetsskydd i riksdagen och dess myndigheter (framst. 2018/19:RS6) nämnt några frågor om tillsyn, anmälnings- och rapporteringsskyldighet samt utkontraktering som behövde utredas och övervägas ytterligare. Konstitutionsutskottet delade i sitt betänkande (bet. 2018/19:KU16) den uppfattningen. Vidare ansåg utskottet att riksdagsstyrelsen i det fortsatta arbetet borde överväga behovet av att se över även andra frågor av betydelse för säkerhetsskyddet i riksdagen och dess myndigheter.

I översynen ingick att

•utreda om det är möjligt att genom andra åtgärder än den tillsyn som regleras i säkerhetsskyddslagen (2018:585) åstadkomma ett motsvarande skydd för säkerhetsskyddsklassificerade uppgifter och säkerhetskänslig verksamhet i riksdagen och dess myndigheter

•analysera behovet och konsekvenserna av en anmälnings- och rapporteringsskyldighet för riksdagen och dess myndigheter vid säkerhetshotande händelser samt överväga om en sådan ska införas

•analysera behovet av ytterligare reglering för att förebygga att säkerhetsskyddsklassificerade uppgifter och säkerhetskänslig verksamhet inom riksdagen och dess myndigheter utsätts för risker i samband med utkontraktering

•analysera behovet av en säkerhetsskyddschef hos riksdagen och dess myndigheter (dock inte hos nämndmyndigheterna) samt vid behov föreslå vilka uppgifter och befogenheter sådana säkerhetsskyddschefer ska ha och hur sådana uppgifter och befogenheter ska regleras

•se över vissa frågor som rör anställda vid partigruppernas kanslier, bl.a. tystnadsplikt, säkerhetsprövning och placering i säkerhetsklass

•se över regleringen om tillträde till riksdagens lokaler för tidigare riksdagsledamöter.

Vid riksdagsstyrelsens sammanträde den 5 maj 2021 överlämnade utredningen betänkandet Kompletteringar till regelverket om säkerhetsskydd i riksdagen och dess myndigheter (2020/21:URF3). Utredningens lagförslag finns i bilaga 1. En sammanfattning av utredningens förslag finns i bilaga 2. Betänkandet har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 3. Remissvaren finns tillgängliga hos Riksdagsförvaltningen (dnr 1971- 2019/20). Förslag till bestämmelser om bl.a. granskning har fortsatt beretts med Riksbanken, Riksdagens ombudsmän, Riksrevisionen, Regeringskansliet och Säkerhetspolisen. Myndigheternas svar finns tillgängliga hos Riksdagsförvaltningen (dnr 1971-2019/20).

3 ÄRENDET OCH DESS BEREDNING

2021/22:RS5

Rätten till tillträde till riksdagens lokaler för tidigare riksdagsledamöter regleras i riksdagsstyrelsens föreskrift (RFS 2019:1) om säkerhet och säkerhetsskydd i riksdagen, Riksdagsförvaltningen och partikanslierna. Förslaget i denna del kommer därför att behandlas i kommande föreskriftsarbete.

Sedan utredningen överlämnade betänkandet har regeringen lämnat propositionen Ett starkare skydd för Sveriges säkerhet (prop. 2020/21:194) med bl.a. förslag till nya bestämmelser om säkerhetsskyddsavtal och säkerhetsskyddschef. Bestämmelserna har trätt i kraft den 1 december 2021 (bet. 2021/22:JuU3 och rskr. 2021/22:19). Sedan den 1 december 2021 gäller en ny säkerhetsskyddsförordning, säkerhetsskyddsförordningen (2021:955).

2021/22:RS5

4 Gällande rätt

4.1Framväxten av säkerhetsskyddslagen (2018:585) och lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter

De statliga myndigheterna lyder under delvis olika säkerhetsskyddsreglering. För myndigheterna under regeringen (och även enskilda verksamhetsutövare) gäller säkerhetsskyddslagen (2018:585) och säkerhetsskyddsförordningen (2021:955). Säkerhetsskyddslagen trädde i kraft den 1 april 2019 och ersatte säkerhetsskyddslagen (1996:627). Samma datum trädde även säkerhetsskyddsförordningen (2018:658) i kraft och ersatte säkerhetsskyddsförordningen (1996:633). Säkerhetsskyddsförordningen från 2018 ersattes den 1 december 2021 av den nuvarande säkerhetsskyddsförordningen.

Riksdagen och dess myndigheter har en egen lag i form av lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter. Även den trädde i kraft den 1 april 2019. Den lagen är dock inte lika omfattande som säkerhetsskyddslagen. I vissa delar gäller i stället säkerhetsskyddslagen, närmare bestämt bestämmelserna om säkerhetsskyddsklasser i 2 kap. 5 §, säkerhetsprövning i 3 kap. och säkerhetsintyg i 5 kap. Det framgår av 1 kap. 3 § första stycket säkerhetsskyddslagen och 10 § lagen om säkerhetsskydd i riksdagen och dess myndigheter.

Arbetet med att ta fram den nuvarande säkerhetsskyddslagen påbörjades i december 2011. En särskild utredare lämnade så småningom betänkandet En ny säkerhetsskyddslag (SOU 2015:25), vilket ledde till propositionen Ett modernt och stärkt skydd för Sveriges säkerhet – ny säkerhetsskyddslag (prop. 2017/18:89). Under arbetet med att ta fram den nya säkerhetsskyddsregleringen uppmärksammades att det fanns behov av även andra åtgärder än de som dittills hade föreslagits. En annan särskild utredare fick därför i uppdrag att titta närmare på bl.a. frågan om behovet av en utökad skyldighet att ingå säkerhetskyddsavtal och hur man kan förebygga risker vid utkontraktering, upplåtelse och överlåtelse av säkerhetskänslig verksamhet. Utredningen lämnade betänkandet Kompletteringar till den nya säkerhetsskyddslagen (SOU 2018:82). Betänkandet resulterade i dels propositionen Åtgärder till skydd för Sveriges säkerhet vid överlåtelser av säkerhetskänslig verksamhet (prop. 2020/21:13), dels propositionen Ett starkare skydd för Sveriges säkerhet (prop. 2020/21:194). Genom den senare propositionen och efterföljande riksdagsbeslut har det införts bl.a. nya bestämmelser om skyldigheter när en annan aktör kan få tillgång till säkerhetskänslig verksamhet, som t.ex. ett utökat krav på när säkerhetsskyddsavtal ska ingås, samt bestämmelser som rör säkerhetsskyddschefen. Bestämmelserna gäller från och med den 1 december 2021.

Med anledning av den nya säkerhetsskyddslagen ansåg konstitutionsutskottet att det kunde finnas anledning att utreda säkerhetsskyddet i riksdagen och dess myndigheter (bet. 2017/18:KU40). Efter ett tillkännagivande av

4 GÄLLANDE RÄTT

2021/22:RS5

riksdagen till riksdagsstyrelsen om att se över bestämmelserna om säkerhetsskydd i riksdagen och dess myndigheter samt föreslå de ändringar som bedömdes vara nödvändiga med anledning av riksdagens beslut om att anta en ny säkerhetsskyddslag (rskr. 2017/18:420) tog Riksdagsförvaltningen fram en promemoria med förslag till en ny lag om säkerhetsskydd i riksdagen och dess myndigheter. I riksdagsstyrelsens framställning till riksdagen, Ny lag om säkerhetsskydd i riksdagen och dess myndigheter (framst. 2018/19:RS6), föreslogs att lagen (2006:128) om säkerhetsskydd i riksdagen och dess myndigheter skulle ersättas av en ny lag. Konstitutionsutskottet gjorde i sitt betänkande (bet. 2018/19:KU16) endast några små ändringar.

4.2 Vem regleringen gäller för

Enligt 1 kap. 1 § första stycket säkerhetsskyddslagen gäller lagen för den som till någon del bedriver verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd, i lagen kallat säkerhetskänslig verksamhet (se mer om det i avsnittet nedan). Att det står just ”till någon del” innebär att det för lagens tillämplighet inte krävs att hela verksamheten kan anses utgöra säkerhetskänslig verksamhet. I lagen finns också bestämmelser om bl.a. internationell samverkan i övrigt på säkerhetsskyddsområdet, se andra stycket samma bestämmelse.

I 1 § lagen om säkerhetsskydd i riksdagen och dess myndigheter anges att lagen gäller i verksamhet vid riksdagen och ett antal uppräknade myndigheter. Myndigheterna är dels större myndigheter i form av Riksdagsförvaltningen, Riksbanken, Riksdagens ombudsmän samt Riksrevisionen, dels vissa nämnder som lyder under riksdagen, nämligen Partibidragsnämnden, Riksdagens arvodesnämnd, Statsrådsarvodesnämnden, Nämnden för prövning av statsråds och vissa andra befattningshavares övergångsrestriktioner, Nämnden för lön till riksdagens ombudsmän och riksrevisorn, Riksdagens överklagandenämnd, Valprövningsnämnden och Riksdagens ansvarsnämnd.

Lagen om säkerhetsskydd i riksdagen och dess myndigheter i fråga gäller alltså även i verksamhet vid riksdagen. Riksdagen åläggs dock inga skyldigheter som följer av lagen. Den uppgiften ligger i stället på Riksdagsförvaltningen.1 Det kommer också till uttryck i 3 § lagen (2011:745) med instruktion för Riksdagsförvaltningen där det bl.a. sägs att Riksdagsförvaltningen ska svara för säkerheten och krisberedskapen i riksdagen. Riksdagen bedriver alltså inget eget säkerhetsskyddsarbete utan det görs av Riksdagsförvaltningen. I den mån föreskrifter och liknande från riksdagsstyrelsen och riksdagsdirektören gäller för riksdagens ledamöter framgår det.

1Se framst. 2005/06:RS1 s. 18. Det konstateras också av konstitutionsutskottet i betänkandet Ny lag om säkerhetsskydd i riksdagen och dess myndigheter (bet. 2018/19:KU16). Utskottet anför där: ”I likhet med vad som nu gäller är avsikten att det även fortsättningsvis ska vara Riksdagsförvaltningen och inte riksdagen som ska svara för de uppgifter som framgår av den föreslagna lagen. Riksdagsstyrelsens förslag innebär således i detta hänseende inte någon ändring i förhållande till vad som nu gäller, och utskottet ställer sig bakom detta.”, se s. 11.

2021/22:RS5

4 GÄLLANDE RÄTT

4.3 Vad som avses med säkerhetsskydd m.m.

Med säkerhetsskydd avses enligt 1 kap. 2 § första stycket säkerhetsskyddslagen skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter. Säkerhetsskyddet knyts alltså dels till säkerhetskänslig verksamhet, dels till säkerhetsskyddsklassificerade uppgifter.

Säkerhetskänslig verksamhet definieras i 1 kap. 1 § första stycket säkerhetsskyddslagen som verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd.

Med säkerhetsskyddsklassificerade uppgifter avses enligt 1 kap. 2 § andra stycket säkerhetsskyddslagen uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400), förkortad OSL, eller som skulle ha omfattats av sekretess enligt den lagen, om den hade varit tillämplig. Det uppställs alltså inte något krav på att verksamheter som säkerhetsskyddslagen gäller ska omfattas av bestämmelserna om sekretess i offentlighets- och sekretesslagen för att en uppgift ska kunna anses vara säkerhetsskyddsklassificerad. Däremot förutsätts att en säkerhetsskyddsklassificerad uppgift till sin natur är sådan att uppgiften materiellt sett kan hänföras till en bestämmelse om sekretess, med hänsyn till antingen Sveriges säkerhet eller Sveriges förbindelser med någon annan stat eller mellanfolklig organisation. Särskilt relevant för vägledning i fråga om vilka uppgifter som till sin natur medför krav på säkerhetsskydd är enligt förarbetena den s.k. försvarssekretessen i 15 kap. 2 § OSL och bestämmelserna om sekretess i underrättelseverksamhet i 18 kap. 2 § OSL. Även andra bestämmelser om sekretess kan vara tillämpliga på denna typ av uppgifter som t.ex. den s.k. utrikessekretessen i 15 kap. 1 § OSL och bestämmelsen om sekretess i det internationella samarbetet i 15 kap. 1 a § OSL.2

I 2 § lagen om säkerhetsskydd i riksdagen och dess myndigheter definieras vad som avses med säkerhetskänslig verksamhet, säkerhetsskydd och säkerhetsskyddsklassificerade uppgifter. Definitionerna är desamma som i 1 kap. 1 och 2 §§ säkerhetsskyddslagen, men eftersom de bestämmelserna inte gäller för riksdagen och dess myndigheter behövs det definitioner även i lagen om säkerhetsskydd i riksdagen och dess myndigheter. Riksdagsstyrelsen ansåg i sin framställning till riksdagen att det saknades anledning för riksdagen och dess myndigheter att införa egna begrepp som avviker från dem som förekommer i säkerhetsskyddslagen.3

2Prop. 2017/18:89 s. 135.

3Framst. 2018/19:RS6 s. 19.

4 GÄLLANDE RÄTT

2021/22:RS5

4.4Skyldigheter för den som bedriver säkerhetskänslig verksamhet respektive utformningen av säkerhetsskyddet

I 2 kap. 1 § säkerhetsskyddslagen anges vilka skyldigheter den som till någon del bedriver säkerhetskänslig verksamhet (verksamhetsutövaren) har. Enligt bestämmelsens första och andra stycke ska denne utreda behovet av säkerhetsskydd (säkerhetsskyddsanalys). Säkerhetsskyddsanalysen ska dokumenteras. Med utgångspunkt i analysen ska verksamhetsutövaren planera och vidta de säkerhetsskyddsåtgärder (se mer om dem i avsnittet nedan) som behövs med hänsyn till verksamhetens art och omfattning, förekomst av säkerhetsskyddsklassificerade uppgifter och övriga omständigheter.

Verksamhetsutövaren har enligt 2 kap. 1 § tredje stycket säkerhetsskyddslagen en skyldighet att kontrollera säkerhetsskyddet i den egna verksamheten, anmäla och rapportera sådant som är av vikt för säkerhetsskyddet och i övrigt vidta de åtgärder som krävs enligt den lagen. Bestämmelsen kompletteras med en reglering i 2 kap. 4 § säkerhetsskyddsförordningen där det sägs att en verksamhetsutövare skyndsamt ska anmäla till Säkerhetspolisen om det finns skäl att anta att en säkerhetsskyddsklassificerad uppgift otillåtet har röjts, om det inträffat en it-incident i ett informationssystem som verksamhetsutövaren är ansvarig för och som har betydelse för säkerhetskänslig verksamhet och där incidenten allvarligt kan påverka säkerheten i systemet eller om verksamhetsutövaren får kännedom eller misstanke om någon annan för denne allvarlig säkerhetshotande verksamhet. I vissa fall kan anmälan även behöva göras till Försvarsmakten.

Vad som avses med skyldigheten att kontrollera säkerhetsskyddet förklaras inte närmare i bestämmelsen. Enligt bestämmelsens förarbeten innebär den dock att verksamhetsutövaren ska se till att det finns intern kontroll av säkerhetsskyddet.4 Bestämmelsen bygger delvis på 30 § säkerhetsskyddslagen (1996:627) där det i punkten 2 angavs att myndigheter och andra som lagen gäller för skulle se till att säkerhetsskyddet kontrollerades. I förarbetena till 1996 års lagstiftning angavs att kontrollens syfte var att utröna om bestämmelserna om säkerhetsskydd efterlevdes vid den egna myndigheten och att skyddsnivån var jämn och tillräckligt hög.5

I 3 § lagen om säkerhetsskydd i riksdagen och dess myndigheter finns angivet vad som gäller för utformningen av säkerhetsskyddet. Bestämmelsen är utformad efter förebild av 2 kap. 1 § säkerhetsskyddslagen och innebär bl.a. ett krav på att den som bedriver säkerhetskänslig verksamhet ska utreda behovet av säkerhetsskydd (säkerhetsskyddsanalys). Verksamhetsutövaren ska med utgångspunkt i analysen planera och vidta de säkerhetsskyddsåtgärder som anges i 5–9 §§ lagen om säkerhetsskydd i riksdagen och dess myndigheter och som behövs med hänsyn till verksamhetens art och omfattning, förekomst

4Prop. 2017/18:89 s. 137.

5Prop. 1995/96:129 s. 28.

2021/22:RS5	4 GÄLLANDE RÄTT
	av säkerhetsskyddsklassificerade uppgifter och övriga omständigheter. Verk-
	samhetsutövaren ska även kontrollera säkerhetsskyddet i den egna verksam-
	heten och i övrigt vidta de åtgärder som krävs enligt lagen om säkerhetsskydd
	i riksdagen och dess myndigheter och enligt säkerhetsskyddslagen i tillämp-
	liga delar. Vad gäller skyldigheten att kontrollera säkerhetsskyddet sägs i för-
	arbetena att skyldigheten har flyttats till 3 § bl.a. för att bestämmelsen om om-
	fattningen av säkerhetsskyddet ska ha en liknande uppbyggnad som i den nya
	säkerhetsskyddslagen.6 Enligt 4 § lagen om säkerhetsskydd i riksdagen och
	dess myndigheter ska säkerhetsskyddet utformas med beaktande av enskildas
	rätt att enligt tryckfrihetsförordningen ta del av allmänna handlingar och med
	beaktande av enskildas integritet. Det anges också att vid utformningen av sä-
	kerhetsskyddet i riksdagen och Riksdagsförvaltningen ska öppenhet gentemot
	allmänheten och företrädare för massmedierna särskilt beaktas.
	Till skillnad från vad som gäller enligt säkerhetsskyddslagen och säkerhets-
	skyddsförordningen anges det i lagen om säkerhetsskydd i riksdagen och dess
	myndigheter inte någon anmälnings- och rapporteringsskyldighet till Säker-
	hetspolisen eller Försvarsmakten för sådant som är av vikt för säkerhetsskyd-
	det. I sitt remissvar över den promemoria som låg till grund för riksdagssty-
	relsens framställning till ny lag förordade Säkerhetspolisen att en bestämmelse
	med innehåll som motsvarar det som sägs i 2 kap. 1 § tredje stycket säkerhets-
	skyddslagen om en anmälnings- och rapporteringsskyldighet borde införas i
	regelverket om säkerhetsskydd i riksdagen och dess myndigheter. Regerings-
	kansliet sa i sitt remissvar att anmälningsskyldigheten i säkerhetsskyddslagen
	är betydelsefull eftersom den ger Säkerhetspolisen och Försvarsmakten möj-
	lighet att tidigt få kännedom om säkerhetshot som riktas mot skyddsvärda
	verksamheter och gör att myndigheterna i ett tidigt skede kan bistå med råd i
	sådana situationer. Det skulle därför kunna övervägas om inte en motsvarande
	skyldighet borde införas för de myndigheter som avses i 1 § 2–12 lagen om
	säkerhetsskydd i riksdagen och dess myndigheter. Riksdagsstyrelsen å sin sida
	menade i sin framställning att frågan om en anmälnings- och rapporterings-
	skyldighet borde tas upp i samband med en utredning av frågan om eventuell
	tillsyn över riksdagen och dess myndigheter. Riksdagsstyrelsen konstaterade
	också att det inte hade kommit fram något som tyder på att riksdagens myn-
	digheters samverkan med Säkerhetspolisen inte fungerar tillfredsställande.
	Ytterligare ett förslag från Säkerhetspolisen var att i lagen om säkerhets-
	skydd i riksdagen och dess myndigheter ta in en bestämmelse om säkerhets-
	skyddschef. Riksdagsstyrelsen gjorde dock bedömningen att frågan om att in-
	rätta en funktion som säkerhetsskyddschef är en sådan organisatorisk fråga
	som respektive myndighet under riksdagen kan föreskriva om.7

6Framst. 2018/19:RS6 s. 33.

7Framst. 2018/19:RS6 s. 21.

4 GÄLLANDE RÄTT

2021/22:RS5

4.5 Säkerhetsskyddsåtgärder

I 2 kap. 2–4 §§ säkerhetsskyddslagen beskrivs säkerhetsskyddets inriktning och vad de olika säkerhetsskyddsåtgärderna syftar till.

Informationssäkerhet regleras i 2 kap. 2 § säkerhetsskyddslagen. Den ska dels förebygga att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs, dels förebygga skadlig inverkan i övrigt på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet.

Fysisk säkerhet regleras i 2 kap. 3 § säkerhetsskyddslagen. Den ska förebygga att obehöriga får tillträde till områden, byggnader och andra anläggningar eller objekt där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller där säkerhetskänslig verksamhet i övrigt bedrivs. Åtgärden ska också förebygga skadlig inverkan på sådana områden, byggnader, anläggningar eller objekt.

Personalsäkerhet regleras i 2 kap. 4 § säkerhetsskyddslagen. Den ska förebygga att personer som inte är pålitliga ur säkerhetssynpunkt deltar i en verksamhet där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller i en verksamhet som av annan anledning är säkerhetskänslig, samt säkerställa att de som deltar i säkerhetskänslig verksamhet har tillräcklig kunskap om säkerhetsskydd. Tätt sammankopplad med personalsäkerheten är säkerhetsprövningen, se mer om den i avsnitt 4.9. Även i 5 kap. säkerhetsskyddsförordningen finns det bestämmelser om personalsäkerhet.

I 5, 7 och 9 §§ lagen om säkerhetsskydd i riksdagen och dess myndigheter finns bestämmelser om de tre olika typerna säkerhetsskyddsåtgärder. Dessa definieras på samma sätt som i säkerhetsskyddslagen.

4.6 Säkerhetsskyddsklassificering

I 2 kap. 5 § säkerhetsskyddslagen finns bestämmelser om säkerhetsskyddsklassificering. Dessa bestämmelser gäller även för riksdagen och dess myndigheter, se 1 kap. 3 § första stycket säkerhetsskyddslagen och 10 § lagen om säkerhetsskydd i riksdagen och dess myndigheter.

Säkerhetsklassificerade uppgifter ska enligt 2 kap. 5 § säkerhetsskyddslagen delas in i säkerhetsskyddsklasser utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges säkerhet. Fyra nivåer finns – kvalificerat hemlig vid en synnerligen allvarlig skada, hemlig vid en allvarlig skada, konfidentiell vid en inte obetydlig skada samt begränsat hemlig vid endast ringa skada.

4.7 Anmälningsplikt

I 2 kap. 6 § säkerhetsskyddslagen anges att en verksamhetsutövare utan dröjsmål ska anmäla att den bedriver säkerhetskänslig verksamhet till tillsynsmyndigheten. Även ett upphörande av den säkerhetskänsliga verksamheten ska

2021/22:RS5	4 GÄLLANDE RÄTT
	utan dröjsmål anmälas. Bestämmelsen är ny och trädde i kraft den 1 december
	2021.
	Genom anmälningsskyldigheten får tillsynsmyndigheten bättre förutsätt-
	ningar att få en samlad bild över tillsynsområdet och får lättare att ringa in
	vilka tillsynsobjekt som finns och planera och prioritera i tillsynsverksam-
	heten. En anmälningsskyldighet kan vidare motverka att aktörer som bedriver
	säkerhetskänslig verksamhet inte tillämpar säkerhetsskyddslagen. Skyldig-
	heten att även anmäla upphörande av sådan verksamhet motverkar att olika
	moment inom säkerhetsprövningen, i synnerhet registerkontroller, fortsätter
	att löpa när det inte är motiverat och bidrar till att hålla tillsynsmyndighetens
	bild över sina tillsynsobjekt uppdaterad.8
	I lagen om säkerhetsskydd i riksdagen finns ingen dylik anmälningsplikt.

4.8 Säkerhetsskyddschef

I 2 kap. 7 § säkerhetsskyddslagen finns en bestämmelse om säkerhetsskyddschef. I den sägs att det vid verksamhet som omfattas av säkerhetsskyddslagen ska finnas en säkerhetsskyddschef, om det inte är uppenbart obehövligt. Sä- kerhetsskyddschefen ska leda och samordna säkerhetsskyddsarbetet samt kontrollera att verksamheten bedrivs enligt lagen och de föreskrifter som har meddelats i anslutning till lagen. Ansvaret kan inte delegeras. Det anges vidare att säkerhetsskyddschefen ska vara direkt underställd chefen för verksamhetsutövarens verksamhet, om en sådan chef finns, och annars verksamhetsutövarens ledning.

Bestämmelsen trädde i kraft den 1 december 2021. Dessförinnan reglerades säkerhetsskyddschefen i 2 kap. 2 § säkerhetsskyddsförordningen (2018:658). Jämfört med bestämmelsen i säkerhetsskyddsförordningen har säkerhetsskyddschefens ansvar utvidgats till att även omfatta att leda och samordna säkerhetsskyddsarbetet. Kravet på säkerhetsskyddschefens organisatoriska placering, som i säkerhetsskyddsförordningen endast gällde myndigheter, har också gjorts allmängiltigt för alla verksamhetsutövare. I förarbetena påpekas vikten av att säkerhetsskyddschefen organisatoriskt finns nära verksamhetsutövarens ledning och chef. En sådan ordning skapar förutsättningar för en bättre kommunikation mellan säkerhetsfunktionen och ledningen samt medför att säkerhetsskyddsfrågorna får hög prioritet. Vidare ger det säkerhetsskyddschefen möjlighet att få en bild av hela verksamhetens skyddsvärden, vilket är en förutsättning för det interna säkerhetsskyddsarbetet. Genom ett krav på att säkerhetsskyddschefen ska vara direkt underställd den person som är chef för verksamhetsutövarens verksamhet kommer säkerhetsskyddschefen typiskt sett att ingå i en ledningsgrupp och vara en organisatorisk del av ledningen, vilket ger bättre förutsättningar för att säkerhetsskyddsfrågor uppmärksammas och beaktas i den dagliga styrningen av verksamheten. Det uttalas också att säkerhetsskyddschefen ska vara aktiv och operativ och inte enbart passivt

8 Prop. 2020/21:194 s. 80.

4 GÄLLANDE RÄTT

2021/22:RS5

kontrollera säkerhetsskyddet i efterhand. Att ansvaret inte ska kunna delegeras förklaras med att det alltid bör finnas en person som har ansvaret för att kontrollera att säkerhetsskyddsregleringen följs och som har en helhetsbild av verksamhetens skyddsvärden och säkerhetsskydd. Om ansvaret delegeras uppnås inte de viktiga fördelar som finns med att säkerhetsskyddschefen är direkt underställd verksamhetsutövarens ledning.9

Ändringarna om säkerhetsskyddschefens roll och placering samt även de nya bestämmelserna om säkerhetsskyddsavtal (se avsnitt 4.10) måste förstås mot bakgrunden av att det under de senaste åren har visat sig att centrala verksamhetsutövare har haft ett eftersatt säkerhetsskydd. Som exempel nämns i förarbetena den upphandling om förändrad it-drift hos Transportstyrelsen som bl.a. medförde att säkerhetsskyddsklassificerade och av andra skäl sekretessbelagda uppgifter hanterades på ett sätt som stred mot svensk lag. I den utredning som granskade upphandlingen konstaterades att den grundläggande orsaken till att säkerhetsskyddsklassificerade uppgifter röjdes var att det i alltför hög grad saknades relevant kunskap om vilken information som myndigheten hanterade, hur denna information hanterades och vilka krav som ställdes på informationshanteringen. Detta berodde enligt utredaren i sin tur bl.a. på att säkerhetsfunktionerna på myndigheten var utspridda och saknade tillräcklig samordning. Enligt utredaren uppfattade säkerhetsskyddschefen att det var svårt att få genomslag för säkerhetsskyddsfrågor både på ledningsnivå och i verksamheten samt att säkerhetsfrågorna kom in alldeles för sent i processen.10

I lagen om säkerhetsskydd i riksdagen och dess myndigheter finns det inte några bestämmelser om säkerhetsskyddschef.

4.9 Säkerhetsprövning

Vem som ska säkerhetsprövas och varför

Säkerhetsprövning handlar ytterst om att bedöma om en person har tillräckliga förutsättningar och personlig lämplighet att genom anställning eller på annat sätt delta i säkerhetskänslig verksamhet. En helhetsbedömning ska göras som baseras på ett allsidigt underlag och som tydligt relateras till verksamheten och anställningen.11

I 3 kap. säkerhetsskyddslagen finns bestämmelser om säkerhetsprövning. Bestämmelserna gäller även för riksdagen och dess myndigheter, se 1 kap. 3 § första stycket säkerhetsskyddslagen och 10 § lagen om säkerhetsskydd i riksdagen och dess myndigheter. För de verksamhetsutövare som lyder direkt under säkerhetsskyddslagen kompletteras bestämmelserna av 5 kap. säkerhetsskyddsförordningen. Riksdagens myndigheter har i vissa fall i stället kompletterande bestämmelser i interna föreskrifter och liknande.

9Prop. 2020/21:194 s. 23 f. och s. 126.

10Ds 2018:6 s. 98 och s. 220.

11Prop. 2017/18:89 s. 143.

2021/22:RS5	4 GÄLLANDE RÄTT
	Enligt 3 kap. 1 § säkerhetsskyddslagen ska den som genom en anställning
	eller på något annat sätt ska delta i säkerhetskänslig verksamhet säkerhetsprö-
	vas. Vissa uppdrag undantas dock från säkerhetsprövning, däribland uppdrag
	som statsråd och ledamot av riksdagen. Säkerhetsprövningen syftar enligt
	3 kap. 2 § säkerhetsskyddslagen till att klarlägga om en person kan antas vara
	lojal mot de intressen som skyddas i säkerhetsskyddslagen och i övrigt pålitlig
	från säkerhetssynpunkt. Vid säkerhetsprövningen ska sådana omständigheter
	beaktas som kan antas innebära sårbarheter i säkerhetshänseende.
	Enligt 3 kap. 3 § första stycket säkerhetsskyddslagen ska säkerhetspröv-
	ningen göras innan deltagandet i den säkerhetskänsliga verksamheten påbör-
	jas. Prövningen innefattar flera moment. Den förutsätter en grundutredning
	som, om placering i s.k. säkerhetsklass krävs, ska kompletteras med register-
	kontroll och i vissa fall även särskild personutredning. Med grundutredning
	avses en utredning om personliga förhållanden av betydelse för säkerhetspröv-
	ningen enligt 5 kap. 2 § säkerhetsskyddsförordningen och, såvitt här är av in-
	tresse, 8 kap. 6 § riksdagsstyrelsens föreskrift (RFS 2019:1) om säkerhet och
	säkerhetsskydd i riksdagen, Riksdagsförvaltningen och partikanslierna.
	Grundutredningen ska även omfatta betyg, intyg, referenser och uppgifter som
	den som prövningen gäller har lämnat, samt andra uppgifter i den utsträckning
	det är relevant för prövningen. Av 3 kap. 18 § säkerhetsskyddslagen framgår
	att registerkontroll och särskild personutredning får göras endast om den som
	säkerhetsprövningen gäller har lämnat sitt samtycke.

Ansvar för säkerhetsprövningen

I 3 kap. 4 § säkerhetsskyddslagen regleras vem som har ansvar för säkerhetsprövningen. Enligt bestämmelsens första stycke ska säkerhetsprövningen utgå från uppgifter som kommit fram när grundutredningen gjordes och den kännedom som i övrigt finns om den som ska prövas, uppgifter som har lämnats ut efter registerkontroll och särskild personutredning, arten av den verksamhet som prövningen gäller samt omständigheterna i övrigt. Av andra stycket framgår att bedömningen som huvudregel görs av den som beslutar om anställning eller annat deltagande i den säkerhetskänsliga verksamheten. Tre undantag finns dock.

Det ena undantaget finns i 3 kap. 4 § tredje stycket säkerhetsskyddslagen och avser det fall att en myndighet har det bestämmande inflytandet över den prövades lämplighet att delta i säkerhetskänslig verksamhet hos en enskild verksamhetsutövare. Det är då i stället myndigheten som gör den slutliga bedömningen.

Det andra undantaget finns i 3 kap. 4 a § säkerhetsskyddslagen och rör säkerhetsprövning av domare. I bestämmelsen sägs att bedömningen enligt 3 kap. 4 § säkerhetsskyddslagen i vissa fall ska göras av Domarnämnden och i vissa fall av respektive domstol eller nämnd. Enligt förarbetena till bestämmelsen är det bl.a. av principiella och konstitutionella skäl angeläget att

4 GÄLLANDE RÄTT

2021/22:RS5

ordningen för säkerhetsprövning av ordinarie domare utformas på ett sätt som värnar domstolarnas och domarnas oberoende ställning.12

Ytterligare ett undantag finns i 3 kap. 4 b § säkerhetsskyddslagen. Enligt bestämmelsen ska den slutliga bedömningen enligt 3 kap. 4 § säkerhetsskyddslagen göras av Transportstyrelsen när det gäller den som ska genomgå säkerhetsprövning till följd av ett internationellt säkerhetsskyddsåtagande på området luftfartsskydd. Bestämmelsen motiveras med Transportstyrelsens ansvar för Sveriges EU-rättsliga skyldigheter enligt det EU-rättsliga regelverket för luftfartsskydd.13

Bestämmelsen i 3 kap. 4 § säkerhetsskyddslagen innebär en skillnad jämfört med vad som gällde enligt 27 § 1996 års säkerhetsskyddslag. Enligt den lagen var det den aktör som bestämde om registerkontroll som självständigt avgjorde om personen som prövades skulle få anlitas. Det innebar att en aktör kunde ha ansvar för att göra en säkerhetsprövning baserad på de personliga förhållandena, men om det blev fråga om placering i säkerhetsklass och därmed registerkontroll var det i stället den aktör som bestämde om registerkontrollen som var ansvarig för säkerhetsprövningen.

Placering i säkerhetsklass

Enligt 3 kap. 5 § säkerhetsskyddslagen ska en anställning eller något annat deltagande i säkerhetskänslig verksamhet placeras i säkerhetsklass i den utsträckning som följer av 3 kap. 6–10 §§ samma lag.

Det finns tre säkerhetsklasser. Vilken klass anställningen eller deltagandet ska placeras i styrs av vilken tillgång den anställde eller den som på annat sätt deltar i verksamheten har till säkerhetsskyddsklassificerade uppgifter eller vilka möjligheter han eller hon har att, till följd av sitt deltagande i verksamheten, orsaka skada för Sveriges säkerhet, se 3 kap. 6–8 §§ säkerhetsskyddslagen. Vad gäller de säkerhetsskyddsklassificerade uppgifterna är det bara tillgång till uppgifter i skyddsklassen kvalificerat hemlig, hemlig eller konfidentiell som innebär att befattningen placeras i säkerhetsklass. Utöver det är även uppgifternas mängd av betydelse. För att placera en befattning i säkerhetsklass krävs det att det handlar om en ”omfattning som inte är ringa” eller ”i ringa omfattning”. Det innebär att om uppgifter av en viss klass endast förekommer i mindre omfattning ska befattningen placeras i nästa lägre klass. För verksamhet som är säkerhetskänslig på annan grund än hantering av säkerhetsskyddsklassificerade uppgifter delas de säkerhetsklassade befattningarna in utifrån skadenivåerna synnerligen allvarlig, allvarlig eller inte obetydlig skada för Sveriges säkerhet. Enligt förarbetena bör säkerhetsskyddsanalysen användas som stöd för bedömningen.14

Placering i säkerhetsklass kan också enligt 3 kap. 9 § säkerhetsskyddslagen behöva göras till följd av ett internationellt åtagande om säkerhetsskydd. I

12Prop. 2020/21:11 s. 11 f.

13Prop. 2020/21:194 s. 115 f.

14Prop. 2017/18:89 s. 147.

2021/22:RS5	4 GÄLLANDE RÄTT
	3 kap. 10 § säkerhetsskyddslagen sägs att en anställning eller något annat del-
	tagande får placeras i säkerhetsklass endast om behovet av säkerhetsskydd inte
	kan tillgodoses på något annat sätt. Enligt förarbetena ska det alltid övervägas
	om verksamheten är organiserad på ett optimalt sätt utifrån skyddsbehovet och
	om alternativa säkerhetsskyddsåtgärder i stället kan användas.
	I 3 kap. 12 § säkerhetsskyddslagen anges att det är riksdagen och dess myn-
	digheter som beslutar om placering i säkerhetsklass när det gäller riksdagens
	förvaltningsområde. I övrigt beslutar regeringen om placering i säkerhetsklass.
	Regeringen får meddela föreskrifter om att myndigheter och andra får besluta
	om placering i säkerhetsklass. Den beslutanderätten regleras närmare i 5 kap.
	6–10 §§ säkerhetsskyddsförordningen, vilken dock inte gäller för riksdagen
	och dess myndigheter.

Registerkontroll och särskild personutredning

Om en anställning eller ett deltagande i verksamheten har placerats i säkerhetsklass ska det enligt 3 kap. 14 § första stycket säkerhetsskyddslagen göras en registerkontroll. Med registerkontroll avses enligt 3 kap. 13 § säkerhetsskyddslagen att uppgifter hämtas från ett register som omfattas av lagen (1998:620) om belastningsregister eller lagen (1998:621) om misstankeregister. Vidare avses också att uppgifter hämtas som behandlas med stöd av lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område eller lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter. Dessa uppgifter får inhämtas för placering i samtliga säkerhetsklasser. För placering i säkerhetsklass 1 och 2 får uppgifterna hämtas även för den kontrollerades make eller sambo, se 3 kap. 14 § andra stycket säkerhetsskyddslagen. Enligt 3 kap. 14 § första stycket säkerhetsskyddslagen ska uppgifter löpande hämtas under den tid deltagandet i den säkerhetskänsliga verksamheten pågår. Registerkontrollen innebär således i praktiken en kontinuerlig bevakning av tillkommande uppgifter (s.k. spontanutfall).15

Registerkontroll är alltså i huvudsak förbehållen fall där anställningen eller deltagandet i verksamheten har placerats i säkerhetsklass. Om det finns särskilda skäl får dock, enligt 3 kap. 15 § säkerhetsskyddslagen, registerkontroll av någon som ska delta i säkerhetskänslig verksamhet göras utan föregående placering i säkerhetsklass. Regeringen får meddela föreskrifter om sådan registerkontroll. Föreskrifterna får dock inte gälla för riksdagen och dess myndigheter.

Om en befattning har placerats i säkerhetsklass 1 eller 2 ska det enligt 3 kap.

17 § säkerhetsskyddslagen även göras en särskild personutredning. Den ska omfatta en undersökning av den kontrollerades ekonomiska förhållanden. I övrigt ska utredningen ha den omfattning som behövs.

I 5 kap. 11–20 §§ säkerhetsskyddsförordningen finns ytterligare bestämmelser om registerkontroll och särskild personutredning. Där framgår bl.a. att

15 Prop. 2017/18:89 s. 149.

4 GÄLLANDE RÄTT

2021/22:RS5

det är Säkerhetspolisen som ska utföra registerkontrollen och den särskilda personutredningen, se 5 kap. 14 och 17 §§ säkerhetsskyddsförordningen.

4.10 Säkerhetsskyddsavtal

Regleringen i säkerhetsskyddslagen jämfört med regleringen i lagen om säkerhetsskydd i riksdagen och dess myndigheter

Från och med den 1 december 2021 gäller enligt säkerhetsskyddslagen nya och utökade bestämmelser för säkerhetsskyddsavtal. Bestämmelserna återfinns i ett eget kapitel (4 kap.) i säkerhetsskyddslagen. De nya bestämmelserna kan ses som en reaktion på att det under de senaste åren har visat sig att centrala verksamhetsutövare har haft ett eftersatt säkerhetsskydd, t.ex. Transportstyrelsen (se mer i avsnitt 4.8).

För riksdagens och dess myndigheters del finns regleringen om säkerhetsskyddsavtal i 12 § lagen om säkerhetsskydd i riksdagen och dess myndigheter. I paragrafens första stycke sägs att om en myndighet som anges i 1 § avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader, ska den se till att det i ett säkerhetsskyddsavtal anges hur kraven på säkerhetsskydd enligt 3 § ska tillgodoses av leverantören om

1.det i upphandlingen förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller

2.upphandlingen i övrigt avser eller ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

Vidare sägs i 12 § andra stycket samma lag att myndigheten ska kontrollera att leverantören följer säkerhetsskyddsavtalet.

Medan regleringen i lagen om säkerhetsskydd i riksdagen och dess myndigheter alltså reglerar frågan om säkerhetsskyddsavtal i en enda paragraf innehåller 4 kap. säkerhetsskyddslagen 20 paragrafer. De nya bestämmelserna, som gås igenom nedan, innebär bl.a. ett krav på säkerhetsskyddsavtal i fler situationer än vid rena upphandlingar, ett utökat krav på uppföljning och kontroll, krav på särskild säkerhetsskyddsbedömning och egen lämplighetsprövning innan ett förfarande som kräver säkerhetsskyddsavtal inleds samt krav på samråd med, för de flesta myndigheterna, Säkerhetspolisen.

Säkerhetsskyddsavtal enligt säkerhetsskyddslagen

Enligt 4 kap. 1 § första stycket säkerhetsskyddslagen ska en verksamhetsutövare som avser att genomföra en upphandling, ingå ett avtal eller inleda en samverkan eller ett samarbete med en annan aktör ingå ett säkerhetsskyddsavtal med aktören, om aktören genom förfarandet kan få tillgång till

1.säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller

2021/22:RS5

4 GÄLLANDE RÄTT

2.annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

Verksamhetsutövaren ska enligt 4 kap. 1 § andra stycket säkerhetsskyddslagen även ingå ett säkerhetsskyddsavtal med en underleverantör som anlitas för att fullgöra aktörens förpliktelse, om underleverantören genom sitt uppdrag kan få en sådan tillgång till den säkerhetskänsliga verksamhet som anges i första stycket i samma paragraf. Ett säkerhetsskyddsavtal ska enligt tredje stycket ingås innan motparten kan få tillgång till den säkerhetskänsliga verksamheten. I förarbetena framhålls att skyldigheten att ingå säkerhetsskyddsavtal inte bör vara begränsad till offentlig upphandling och andra anskaffningar. Det avgörande bör i stället vara risken för att en annan aktör får tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet. Be- stämmelsen motiveras av att en avsaknad av säkerhetsskyddsavtal kan innebära risker för Sveriges säkerhet i vissa situationer, och den är i linje med principen om att säkerhetskänslig verksamhet ska ha samma skydd oavsett var och hur verksamheten bedrivs. I förarbetena sägs också att kravet på säkerhetsskyddsavtal inte bör utvidgas till att omfatta situationer när en myndighet har makt att med tvång bereda sig tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet. Sådana maktmedel finns främst inom ramen för tillsyn och brottsutredningar, såsom husrannsakan, beslag och motsvarande åtgärder.16

Det finns undantag från den utökade skyldigheten att ingå säkerhetsskyddsavtal. I 4 kap. 2 § säkerhetsskyddslagen anges att mellan statliga myndigheter gäller kravet på säkerhetsskyddsavtal endast vid anskaffning av en vara, tjänst eller byggentreprenad. Ledning för tolkning av begreppet anskaffning av vara, tjänst eller byggentreprenad kan hämtas ur upphandlingslagstiftningen. Enligt förarbetena till 1 kap. 2 § lagen (2016:1145) om offentlig upphandling avser uttrycket att någon genom oneröst fång, dvs. ett ömsesidigt förpliktande avtal, får tillgång till varor, tjänster eller byggentreprenader. Typfall är köp, hyra och leasing.17 Undantaget motiveras bl.a. med att statliga myndigheter ingår i den juridiska personen staten, och att de därmed företräder samma övergripande statliga intresse. Ett annat skäl är att det på båda sidor handlar om en verksamhet som i hög grad är regelstyrd på så sätt att skyldigheten att samverka många gånger följer av författning eller regeringsbeslut. Ytterligare ett skäl är att båda parter omfattas av regleringen i offentlighets- och sekretesslagen. Det innebär att uppgifterna regelmässigt kommer att ha samma sekretesskydd hos båda parter. Myndigheter är som regel också vana vid att hantera sekretessbelagd information och har rutiner för det. Dessutom omfattas statliga myndigheter i större utsträckning än enskilda aktörer av säkerhetsskyddslagen med följd att det finns säkerhetsskydd hos båda parter.18

16Prop. 2020/21:194 s. 30 f.

17Prop. 2015/16:195 s. 933.

18Prop. 2020/21:194 s. 35 f.

4 GÄLLANDE RÄTT

2021/22:RS5

Vidare finns det genom 4 kap. 6 § andra stycket säkerhetsskyddslagen en möjlighet för regeringen att meddela föreskrifter om undantag från skyldigheten att ingå säkerhetsskyddsavtal. Regeringen har använt undantagsmöjligheten och i 6 kap. 1 § säkerhetsskyddsförordningen föreskrivs att förutsatt att säkerhetsskyddet ändå kan tillgodoses gäller skyldigheten att ingå säkerhetsskyddsavtal bl.a. inte statliga myndigheters avtal, samverkan eller samarbete med en annan stat än Sverige eller en mellanfolklig organisation. Vidare kan under samma förutsättningar undantag göras vid avtal, samverkan eller samarbete inom militär säkerhetstjänst, försvarsunderrättelseverksamhet eller säkerhetsunderrättelseverksamhet samt Försvarsmaktens eller Försvarets radioanstalts avtal, samverkan eller samarbete inom cyberförsvar. Bestämmelsen i 4 kap. 6 § andra stycket säkerhetsskyddslagen innehåller också en möjlighet för regeringen att besluta om undantag i enskilda fall. För det krävs dock att det finns särskilda skäl. Ett sådant fall kan vara ett samarbete som en myndighet bedriver i enlighet med en författning eller ett regeringsbeslut och som förutsätter ett utbyte av säkerhetsskyddsklassificerade uppgifter, och där förtroendet mellan parterna bygger på ett ömsesidigt intresse av att säkerheten för uppgifterna upprätthålls. En annan situation där ett undantag kan vara lämpligt är anskaffningar av varor och tjänster i ett tillstånd av höjd beredskap.19

Det finns också bestämmelser om att ett säkerhetsskyddsavtal ska innehålla de krav på motparten som behövs för att kraven på säkerhetsskydd ska kunna tillgodoses, att det ska reglera hur verksamhetsutövaren ska få kontrollera att motparten följer säkerhetsskyddsavtalet och att verksamhetsutövaren har rätt att revidera avtalet om det krävs på grund av ändrade förhållanden, se 4 kap. 3 § säkerhetsskyddslagen. Verksamhetsutövaren åläggs i 4 kap. 5 § säkerhetsskyddslagen en lagstadgad skyldighet att kontrollera att motparten följer säkerhetsskyddsavtalet och att revidera avtalet om det krävs på grund av ändrade förhållanden. Om motparten inte följer säkerhetsskyddsavtalet är verksamhetsutövaren skyldig att vidta de åtgärder som behövs för att tillgodose kraven på säkerhetsskydd.

I 4 kap. 4 § säkerhetsskyddslagen anges att vid säkerhetsprövning enligt ett säkerhetsskyddsavtal tillämpas bestämmelserna i 3 kap. säkerhetsskyddslagen och föreskrifter som har meddelats i anslutning till de bestämmelserna. Be- stämmelsen är ett klargörande av kopplingen mellan säkerhetsskyddsavtal och säkerhetsprövning. Klargörandet motiveras i förarbetena med att en aktör som har ingått säkerhetsskyddsavtal med en verksamhetsutövare som regel inte anses bedriva den säkerhetskänsliga verksamhet som aktören får tillgång till. En- bart tillgången till uppgifterna gör alltså inte att aktören är en verksamhetsutövare som omfattas av kraven på säkerhetsprövning. I säkerhetsskyddslagen och säkerhetsskyddsförordningen förutsätts dock att en verksamhetsutövare genom ett säkerhetsskyddsavtal ska kunna ställa krav på säkerhetsprövning med registerkontroll och särskild personutredning motsvarande de som gäller för anställda hos verksamhetsutövare. Vidare förutsätts att beslut om placering

19Prop. 2020/21:194 s. 38.

2021/22:RS5	4 GÄLLANDE RÄTT
	i säkerhetsklass, registerkontroll och särskild personutredning får ske med stöd
	av avtalet. I linje med detta anges i förarbetena till säkerhetsskyddslagen att
	säkerhetsprövning enligt 3 kap. säkerhetsskyddslagen gäller vid säkerhets-
	prövning enligt ett säkerhetsskyddsavtal. Vidare framgår att ett säkerhets-
	skyddsavtal är grund för beslut om placering i säkerhetsklass. Av säkerhets-
	skyddslagen framgår dock inte tydligt att ett säkerhetsskyddsavtal kan utgöra
	grund för krav på säkerhetsprövning av motpartens personal, eller att det kan
	utgöra grund för beslut om placering i säkerhetsklass, registerkontroll och sär-
	skild personutredning.20

Skyldigheter inför förfaranden som kräver säkerhetsskydd

För att bättre hantera riskerna med utkontraktering och liknande förfaranden har det också införts nya bestämmelser om skyldigheter inför förfaranden som kräver säkerhetsskyddsavtal. Genom bestämmelserna förstärks principen att det är verksamhetsutövaren själv som bär ansvaret för säkerhetsskyddet och att detta gäller även när utomstående involveras i verksamheten.21

Tidigare gällde enligt 2 kap. 6 § säkerhetsskyddsförordningen (2018:658) att statliga myndigheter som avsåg att genomföra en upphandling som innebar krav på säkerhetsskyddsavtal i vissa fall var skyldiga att göra en särskild säkerhetsskyddsbedömning. Det kravet har nu lyfts upp i lag och gäller alla verksamhetsutövare. Ett uttryckligt krav på lämplighetsprövning har också lagts till. Av 4 kap. 7 och 8 §§ säkerhetsskyddslagen framgår det att innan ett förfarande som kräver säkerhetsskyddsavtal enligt 4 kap. 1 § samma lag inleds ska en verksamhetsutövare genom en särskild säkerhetsskyddsbedömning identifiera vilka säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som den andra aktören kan få tillgång till och som kräver säkerhetsskydd. Med utgångspunkt i den särskilda säkerhetsskyddsbedömningen och övriga omständigheter ska verksamhetsutövaren göra en lämplighetsprövning av det planerade förfarandet. Den särskilda säkerhetsskyddsbedömningen och lämplighetsprövningen ska dokumenteras. Om lämplighetsprövningen leder till bedömningen att förfarandet är olämpligt från säkerhetsskyddssynpunkt får förfarandet inte inledas. Regeringen får meddela föreskrifter om undantag från kravet på särskild säkerhetsskyddsbedömning och lämplighetsprövning. Så har man också gjort, se 6 kap. 2 § säkerhetsskyddsförordningen. Om det finns särskilda skäl får regeringen också besluta om sådana undantag i enskilda fall. Som exempel på särskilda skäl nämns i förarbetena en utkontraktering inom försvars- eller underrättelseområdet samt vid höjd beredskap.22

I 2 kap. 6 § säkerhetsskyddsförordningen (2018:658) fanns det också ett krav på samråd med tillsynsmyndigheten. Även det kravet återfinns numera i lagen och gäller för alla verksamhetsutövare. Enligt 4 kap. 9 § säkerhets-

20 Prop. 2020/21:194 s. 39 f. För tidigare förarbeten, se prop. 2017/18:89 s. 141 samt s. 104. 21 Prop. 2020/21:194 s. 48 f.

22 Prop. 2020/21:194 s. 53.

4 GÄLLANDE RÄTT

2021/22:RS5

skyddslagen ska, om den ovan nämnda lämplighetsprövningen leder till bedömningen att det planerade förfarandet inte är olämpligt från säkerhetsskyddssynpunkt, verksamhetsutövaren innan den inleder förfarandet samråda med tillsynsmyndigheten, om det planerade förfarandet innebär att den andra aktören kan få tillgång till

1.säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre, eller

2.annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

Vidare sägs att tillsynsmyndigheten ska få förelägga verksamhetsutövaren att vidta åtgärder enligt säkerhetsskyddslagen och de föreskrifter som har meddelats i anslutning till den lagen. I 4 kap. 10 § säkerhetsskyddslagen ges tillsynsmyndigheten en möjlighet att inleda ett samråd om verksamhetsutövaren inte gör det trots att det finns en skyldighet att samråda. Tillsynsmyndigheten ges också i 4 kap. 11 § säkerhetsskyddslagen rätt att, om ett beslut om föreläggande inte följs eller om tillsynsmyndigheten bedömer att det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt även om ytterligare åtgärder vidtas, besluta att verksamhetsutövaren inte får genomföra det planerade förfarandet (förbud). I 4 kap. 12 § säkerhetsskyddslagen föreskrivs vitesmöjlighet för tillsynsmyndigheten i vissa fall.

Skyldigheter inför överlåtelse av säkerhetskänslig verksamhet och viss egendom

I 4 kap. 13–20 §§ säkerhetsskyddslagen finns bestämmelser om skyldigheter inför överlåtelse av säkerhetskänslig verksamhet och viss egendom. Bland annat finns ett absolut krav på samråd med tillsynsmyndigheten. Eftersom denna typ av överlåtelse inte bedöms vara aktuellt för riksdagen och dess myndigheter redogörs inte mer för innehållet i bestämmelserna.

4.11Internationell säkerhetsskyddssamverkan och säkerhetsintyg

Av internationella överenskommelser som Sverige har ingått framgår att en behörig svensk myndighet ska kunna utfärda säkerhetsintyg för personer och leverantörer på begäran av en annan stat eller mellanfolklig organisation (s.k. security clearance eller certificat de sécurité). Intyget syftar till att visa att en behörig myndighet i ett land har genomfört en utredning och i den kommit fram till att en person eller en leverantör kan anses pålitlig att hantera säkerhetsskyddsklassificerade uppgifter upp till en viss nivå.23

I 5 kap. säkerhetsskyddslagen finns det bestämmelser om internationell säkerhetssamverkan och säkerhetsintyg. I 5 kap. 1 § säkerhetsskyddslagen anges

23Se prop. 2017/18:89 s. 116.

2021/22:RS5	4 GÄLLANDE RÄTT
	under vilka förutsättningar ett säkerhetsintyg ska kunna utfärdas. Om det be-
	hövs för att ett säkerhetsintyg ska kunna utfärdas, får det enligt 5 kap. 2 §
	säkerhetsskyddslagen göras en säkerhetsprövning som innefattar registerkon-
	troll. Vid en sådan registerkontroll får det göras en särskild personutredning.
	Regeringen får meddela föreskrifter om vilken myndighet som utfärdar intyg,
	se 5 kap. 6 § säkerhetsskyddslagen.
	För riksdagen och dess myndigheter gäller bestämmelserna i 5 kap. 1–3 §§
	säkerhetsskyddslagen om säkerhetsintyg, se 1 kap. 3 § första stycket säker-
	hetsskyddslagen och 10 § lagen om säkerhetsskydd i riksdagen och dess myn-
	digheter. Däremot omfattas inte riksdagen och dess myndigheter av ordningen
	som innebär att säkerhetsintyg utfärdas av den myndighet som regeringen be-
	stämmer. Utfärdandet av säkerhetsintyg för riksdagen och dess myndigheter
	regleras därför i 11 § lagen om säkerhetsskydd i riksdagen och dess myndig-
	heter. Av bestämmelsen framgår att det är Riksdagsförvaltningen som utfärdar
	säkerhetsintyg och beslutar om registerkontroll enligt 5 kap. 1 och 2 §§ säker-
	hetsskyddslagen, dels för personer som deltar i riksdagens eller Riksdagsför-
	valtningens verksamhet i annan egenskap än riksdagsledamot, dels för perso-
	ner som deltar i verksamhet som bedrivs av de myndigheter som anges i 1 §
	5–12 lagen om säkerhetsskydd i riksdagen och dess myndigheter. För personer
	som deltar i Riksbankens, Riksdagens ombudsmäns eller Riksrevisionens
	verksamhetsområde är det respektive myndighet som utfärdar säkerhetsintyg
	och beslutar om registerkontroll enligt 5 kap. 1 och 2 §§ säkerhetsskyddslagen.

4.12 Tillsyn och administrativa sanktionsavgifter enligt säkerhetsskyddslagen

Sedan den 1 december 2021 finns det i säkerhetsskyddslagen två nya kapitel om tillsyn (6 kap.) respektive administrativa sanktionsavgifter (7 kap.). Be- stämmelserna saknar motsvarighet i lagen om säkerhetsskydd i riksdagen och dess myndigheter.

Vad först gäller bestämmelserna om tillsyn anför regeringen i propositionen Ett starkare skydd för Sveriges säkerhet att utredningen i SOU 2018:82 har identifierat ett antal brister i tillsynsverksamheten på säkerhetsskyddsområdet, varav vissa anknyter till utformningen av tillsynsstrukturen. Utredningen konstaterar bl.a. att det inte finns någon myndighet som har en samlad bild över tillsynen, att tillsynen som bedrivs generellt är begränsad och att vissa tillsynsmyndigheter inte bedriver någon tillsyn alls. Det har också framkommit att vissa tillsynsmyndigheter saknar den sak- och tillsynskunskap som behövs. Regeringen anser utifrån det att det behövs en reformering av tillsynsstrukturen. Det behövs också en bred ambitions- och kunskapshöjning på tillsynsområdet. Vidare sägs att det inom Säkerhetspolisen och Försvarsmakten finns hög kompetens avseende säkerhetsskydd. Myndigheterna har en omfattande erfarenhet av tillsyn och rådgivning på området. Tillsynsstrukturen ska därför även framöver bygga på att det huvudsakliga ansvaret för tillsynen ska vila på

4 GÄLLANDE RÄTT

2021/22:RS5

dessa myndigheter. Regeringen har också gett Försvarsmakten och Säkerhetspolisen i uppdrag att bl.a. inrätta samarbetsforum för att underlätta samordning och åstadkomma en effektiv och likvärdig tillsyn (Ju/2021/01245).24

I 6 kap. 1 § säkerhetsskyddslagen definieras tillsynsuppgiften. Där sägs att tillsynsmyndigheten ska utöva tillsyn över att verksamhetsutövare följer lagen och de föreskrifter som har meddelats i anslutning till lagen. Vidare sägs att i det syftet får tillsynsmyndigheten även utöva tillsyn hos de aktörer som verksamhetsutövare har ingått säkerhetsskyddsavtal med. I 6 kap. 2–5 §§ säkerhetsskyddslagen anges vilka undersökningsbefogenheter tillsynsmyndigheten har. Av bestämmelserna framgår att den som står under tillsyn på begäran ska tillhandahålla tillsynsmyndigheten den information som behövs för tillsynen (2 §), att tillsynsmyndigheten har rätt att i viss omfattning få tillträde till områden, lokaler och andra utrymmen (3 §), att tillsynsmyndigheten får besluta att förelägga den som står under tillsyn att tillhandahålla information och ge tillträde och förena ett sådant föreläggande med vite (4 §) samt att tillsynsmyndigheten får begära handräckning av Kronofogdemyndigheten för att få information och tillträde (5 §). Enligt 6 kap. 6 § säkerhetsskyddslagen kan tillsynsmyndigheten också besluta om åtgärdsförelägganden.

För att ytterligare betona vikten av säkerhetsskyddet finns det i 7 kap. säkerhetsskyddslagen bestämmelser om administrativa sanktionsavgifter vid överträdelse av centrala bestämmelser. En sanktionsavgift ska enligt 7 kap. 4 § säkerhetsskyddslagen bestämmas till lägst 25 000 kronor och, för en statlig myndighet, högst 10 000 000 kronor. Överträdelser som kan leda till sanktionsavgift är t.ex. om verksamhetsutövaren har åsidosatt skyldigheten att utse en säkerhetsskyddschef, kravet på att anmäla och rapportera sådant som är av vikt för säkerhetsskyddet, kravet på att ingå säkerhetsskyddsavtal och i vissa fall även vid bristfälliga säkerhetsskyddsavtal, jämför 7 kap. 1 § säkerhetsskyddslagen.

4.13Övriga bestämmelser av intresse, däribland tystnadsplikt enligt säkerhetsskyddslagen

I 8 kap. 2 § säkerhetsskyddslagen finns en kompletterande bestämmelse till offentlighets- och sekretesslagen om tystnadsplikt. Bestämmelsen saknar motsvarighet i lagen om säkerhetsskydd i riksdagen och dess myndigheter. Av bestämmelsens första stycke framgår att tystnadsplikt gäller för den som på grund av anställning eller på annat sätt deltar eller har deltagit i säkerhetskänslig verksamhet enligt säkerhetsskyddslagen. Bestämmelsen innebär alltså att den som har deltagit i säkerhetskänslig verksamhet inte obehörigen får föra vidare eller på annat sätt utnyttja uppgifter som är av betydelse för Sveriges säkerhet eller som Sverige i förhållande till en annan stat eller mellanfolklig organisation har åtagit sig att skydda. I andra stycket finns en upplysning om att det i det allmännas verksamhet i stället är bestämmelserna i offentlighets-

24Prop. 2020/21:194 s. 75.

2021/22:RS5	4 GÄLLANDE RÄTT
	och sekretesslagen som tillämpas. Bestämmelsen är ny i förhållande till 1996
	års säkerhetsskyddslag och motiveras i förarbetena med att säkerhetsskydds-
	klassificerade uppgifter bör ha samma skydd oavsett i vilken verksamhet som
	uppgifterna finns.25
	I 14 § lagen om säkerhetsskydd i riksdagen och dess myndigheter regleras
	vad som gäller i fråga om bemyndiganden. Där sägs att det av 7 § lagen med
	instruktion för Riksdagsförvaltningen framgår att Riksdagsförvaltningen får
	meddela föreskrifter inom sitt verksamhetsområde. Övriga myndigheter som
	omfattas av lagen om säkerhetsskydd i riksdagen och dess myndigheter får
	meddela de närmare föreskrifter inom sitt verksamhetsområde som behövs för
	tillämpning av lagen om säkerhetsskydd i riksdagen och dess myndigheter,
	liksom för tillämpningen av säkerhetsskyddslagens bestämmelser om säker-
	hetsskyddsklasser, säkerhetsprövning och säkerhetsintyg.

25Prop. 2017/18:89 s. 120.

2021/22:RS5

5 Det behövs nya bestämmelser i lagen om säkerhetsskydd i riksdagen och dess myndigheter

5.1 Säkerhetsskyddets betydelse måste lyftas upp

Säkerhetshoten mot Sverige har ökat och Säkerhetspolisen bedömer att de kommer att fortsätta öka de närmaste åren. Globalisering och digitalisering skapar nya möjligheter men också nya och förändrade sårbarheter i samhället. Brister i säkerhetsskyddet hos verksamheter riskerar att få allvarliga konsekvenser för Sveriges säkerhet. Ett väl fungerande och samtidigt medvetet säkerhetsskyddsarbete där information och kunskap skyddas är grunden för hela uppbyggnaden av totalförsvaret.26 Riksdagsstyrelsen anser därför att det är viktigt att lyfta upp säkerhetsskyddets betydelse för riksdagen och dess myndigheter. Exempelvis måste riksdagen och Riksbanken, i egenskap av folkets främsta företrädare respektive ansvarig för rikets penningpolitik, fungera i alla lägen och för det krävs ett väl utvecklat säkerhetsskydd.

5.2Den lägstanivå som lagstiftaren har lagt fast genom säkerhetsskyddslagen bör gälla hela statsförvaltningen

Den 1 april 2019 trädde en ny säkerhetsskyddslag i kraft. Jämfört med sin föregångare har lagen moderniserats för att svara mot nya hot och förändringar i omvärlden. Sedan den 1 december 2021 finns i lagen nya bestämmelser om säkerhetsskyddsavtal och säkerhetsskyddschef. Lagen gäller brett för hela statsförvaltningen, dock inte fullt ut för riksdagen och dess myndigheter vilka från den 1 april 2019 lyder under en ny lag om säkerhetsskydd i riksdagen och dess myndigheter.

Lagstiftaren, dvs. riksdagen, har genom säkerhetsskyddslagen lagt fast en lägstanivå för säkerhetsskyddet. Riksdagsstyrelsen anser, i likhet med utredningen, att utgångspunkten måste vara att det är den nivån som ska gälla för hela statsförvaltningen och därmed även för riksdagen och dess myndigheter. Nivån är just en miniminivå och ibland kan det vara befogat med strängare bestämmelser för vissa verksamheter. Det finns också ett värde i att säkerhetsskyddsbestämmelserna för riksdagen och dess myndigheter är så lika utformade som möjligt som de som gäller för övriga statsförvaltningen, i de fall då skyddsvärdet är likartat. Detta innebär dock inte att bestämmelserna måste se exakt likadana ut för alla verksamheter. Exempelvis kan konstitutionella skäl göra att en annan konstruktion i vissa fall behöver väljas för riksdagen och

26Säkerhetspolisens årsbok för 2020, s. 6 samt Säkerhetspolisens årsbok för 2019, s. 18 och

2021/22:RS5	5 DET BEHÖVS NYA BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS
	MYNDIGHETER
	dess myndigheter. En annan aspekt att beakta är att de verksamhetsutövare
	som lyder under säkerhetsskyddslagen även ska följa bestämmelser i säker-
	hetsskyddsförordningen och föreskrifter från olika myndigheter, däribland Sä-
	kerhetspolisen. För riksdagen och dess myndigheter gäller dock enbart lagen
	om säkerhetsskydd i riksdagen och dess myndigheter. Eventuella nya bestäm-
	melser måste alltså placeras antingen i den lagen eller i myndigheternas interna
	regelverk om säkerhetsskydd.

5.3Nämndmyndigheterna omfattas av merparten av de nya bestämmelserna

Enligt 1 § lagen om säkerhetsskydd i riksdagen och dess myndigheter gäller lagen i verksamhet även vid ett antal av riksdagens nämndmyndigheter, nämligen Partibidragsnämnden, Riksdagens arvodesnämnd, Statsrådsarvodesnämnden, Nämnden för prövning av statsråds och vissa andra befattningshavares övergångsrestriktioner, Nämnden för lön till riksdagens ombudsmän och riksrevisorn, Riksdagens överklagandenämnd, Valprövningsnämnden och Riksdagens ansvarsnämnd.

Att lagen om säkerhetsskydd i riksdagen och dess myndigheter gäller i verksamhet även vid nämndmyndigheterna innebär dock inte att nämnderna rent faktiskt måste tillämpa bestämmelserna i lagen. Lagens bestämmelser bygger på att verksamhetsutövaren bedriver säkerhetskänslig verksamhet. Så- dan verksamhet definieras i 2 § första stycket lagen om säkerhetsskydd i riksdagen och dess myndigheter som ”verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd”. Nämnderna utgör egna myndigheter och det är upp till respektive nämnd att bedöma om den bedriver säkerhetskänslig verksamhet eller inte. Det är därför inte möjligt för riksdagsstyrelsen att, som Partibidragsnämnden och Statsrådsarvodesnämnden önskar, klargöra hur nämndmyndigheternas säkerhetsskyddsarbete ska bedrivas och vilka krav som ställs på en nämndmyndighet som inte bedriver säkerhetskänslig verksamhet.

2021/22:RS5

6 Granskning för att uppnå ett skydd liknande tillsyn enligt säkerhetsskyddslagen

6.1Granskning av efterlevnaden av säkerhetsskyddsbestämmelserna och deras ändamålsenlighet

Riksdagsstyrelsens förslag: Det ska ske en granskning av att riksdagen och dess myndigheter bedriver sin verksamhet enligt lagen om säkerhetsskydd i riksdagen och dess myndigheter, det regelverk som har meddelats i anslutning till lagen samt säkerhetsskyddslagen i tillämpliga delar. Även regelverkets ändamålsenlighet ska granskas.

Utredningens förslag

Förslaget överensstämmer med riksdagsstyrelsens.

Remissinstanserna

Remissinstanserna tillstyrker förslaget, har inget att invända eller avstår från att lämna synpunkter.

Skälen för riksdagsstyrelsens förslag

Tillsyn enligt säkerhetsskyddslagen ger ett skydd genom att eventuella brister synliggörs

Utredningen har haft i uppdrag att utreda om det är möjligt att genom andra åtgärder än den tillsyn som regleras i säkerhetsskyddslagen (2018:585) åstadkomma ett motsvarande skydd för säkerhetsskyddsklassificerade uppgifter och säkerhetskänslig verksamhet i riksdagen och dess myndigheter. I likhet med utredningen anser riksdagsstyrelsen att det först måste klargöras vilket skydd en sådan tillsyn ger.

Tillsyn var förut sparsamt reglerat i säkerhetsskyddslagen med tillhörande förordning. Sedan den 1 december 2021 gäller nya bestämmelser på området. Dessa innebär bl.a. att det numera finns ett förtydligande av vad tillsynsuppgiften på säkerhetsskyddsområdet är. I 6 kap. 1 § andra stycket säkerhetsskyddslagen sägs att tillsynsmyndigheten ska utöva tillsyn över att verksamhetsutövare följer lagen och de föreskrifter som har meddelats i anslutning till lagen. Tillsynens syfte diskuteras dock inte närmare i förarbetena till vare sig nuvarande eller tidigare lagstiftning. Inte heller Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd ger någon ledning. I sin årsbok för 2020 skriver dock Säkerhetspolisen:

2021/22:RS5

6 GRANSKNING FÖR ATT UPPNÅ ETT SKYDD LIKNANDE TILLSYN ENLIGT SÄKERHETSSKYDDSLAGEN

En tillsyn syftar till att kontrollera att den som bedriver verksamhet av betydelse för Sveriges säkerhet har ett adekvat säkerhetsskydd som motsvarar lagstiftningens krav. Tillsynen kan bestå i genomgång av dokumentation, intervjuer med de personer i verksamheten som ansvarar för skyddet och att identifiera sårbarheter i verksamhetens IT-system. En tillsyn innehåller även en bedömning framåt av hur väl rustad en verksamhet är för att upprätthålla ett systematiskt arbete med säkerhetsskydd på sikt. Genom en tillsyn får verksamheten möjlighet att genomlysa sitt säkerhetsskyddsarbete på ett strukturerat sätt, något som kan vara svårt att genomföra på egen hand. Verksamheten ansvarar sedan för att åtgärda de eventuella brister som upptäcks. I flera fall innebär en tillsyn från Säkerhetspolisen att flera delar av verksamheten involveras i säkerhetsskyddsarbetet, vilket kan vara positivt för den generella säkerhetskulturen.27

Det finns alltså inte något entydigt svar på frågan vilket skydd tillsyn på säkerhetsskyddsområdet ger. Riksdagsstyrelsen delar dock utredningens bedömning att skyddet kan beskrivas som att tillsyn synliggör eventuella brister på säkerhetsskyddsområdet, något som bidrar dels till att efterlevnaden här och nu av säkerhetsskyddsbestämmelserna kan bli bättre, dels till att de iakttagelser och erfarenheter som tillsynen ger upphov till kan användas som grund för planering och förbättring för framtiden. Vidare anser riksdagsstyrelsen att det är självklart att för riksdagen (genom Riksdagsförvaltningen) och dess myndigheter försöka uppnå ett skydd likt det som tillsyn enligt säkerhetsskyddslagen ger.

För att uppnå ett liknande skydd som det som tillsyn ger behöver granskningen utvecklas

I 3 § tredje stycket lagen om säkerhetsskydd i riksdagen och dess myndigheter sägs bl.a. att verksamhetsutövaren ska kontrollera säkerhetsskyddet i den egna verksamheten. Av förarbetena till 2 kap. 1 § tredje stycket säkerhetsskyddslagen, vilken utgör förebild för 3 § lagen om säkerhetsskydd i riksdagen och dess myndigheter, framgår att syftet med kontrollskyldigheten är att se till att det finns en intern kontroll av säkerhetsskyddet och att bestämmelserna om säkerhetsskydd efterlevs vid den egna myndigheten (se mer i avsnitt 4.4). Några av riksdagens myndigheter bedriver också redan en viss aktivitet som syftar till att upptäcka eventuella brister på säkerhetsskyddsområdet. Förutom myndigheternas dagliga arbete med säkerhetsskyddet ges internrevisionen hos myndigheterna ibland i uppdrag att granska vissa frågor kopplade till säkerhetsskyddet. Myndigheterna har därvid möjlighet att med stöd av 8 kap. 11 § säkerhetsskyddsförordningen be Säkerhetspolisen och Försvarsmakten om råd. Det händer att myndigheterna anlitar en utomstående aktör för att utföra en granskning av områden som myndigheterna anger. Riksdagen har också viss insyn i myndigheternas verksamhet genom utskotten (se mer om det i avsnitt 6.3) och för Riksrevisionens del även riksdagens råd för Riksrevisionen.

Riksdagsstyrelsen anser dock, i likhet med utredningen, att detta inte är tillräckligt. Ett problem är att det är myndigheterna själva som ska utröna vilket

27Säkerhetspolisens årsbok för 2020, s. 42.

6 GRANSKNING FÖR ATT UPPNÅ ETT SKYDD LIKNANDE TILLSYN ENLIGT SÄKERHETSSKYDDSLAGEN

2021/22:RS5

eller vilka områden som behöver granskas. Det är många gånger svårt eftersom myndigheterna inte alltid inser på vilka områden det kan finnas brister. Inte heller den insyn som riksdagen har ger något egentligt skydd eftersom den inte är primärt inriktad på säkerhetsskydd. Riksdagsstyrelsen delar därför utredningens bedömning att arbetet med att upptäcka eventuella brister på säkerhetsskyddsområdet, i det fortsatta benämnt granskning, måste utvecklas för att bättre kunna synliggöra eventuella sådana brister.

Konstitutionella aspekter att beakta

Innan riksdagsstyrelsen går vidare och diskuterar vad granskningen bör omfatta och vem som bör utföra den ska något sägas om de konstitutionella aspekterna.

Riksdagen har en särställning konstitutionellt i och med att den utses av folket. Detsamma får anses gälla för riksdagsledamöterna och talmannen. JO och Riksrevisionen är en del av riksdagens kontrollmakt. Vid Riksrevisionens tillkomst var diskussionerna om den blivande myndighetens oberoende centrala. Riksdagskommittén uttryckte bl.a. att det är avgörande för huruvida en revision kan betraktas som oberoende att granskningsprocessens olika skeden kan bedrivas utan styrning utifrån, dvs. att avgörandena ytterst ligger hos revisionsorganet självt.28 Justitieombudsmännen och riksrevisorn väljs direkt av riksdagen (dock inte en tillförordnad riksrevisor), är helt självständiga i sina beslut och är direkt ansvariga inför riksdagen. Riksrevisionsdirektören väljs också av riksdagen och är självständig när han eller hon beslutar i granskningar som riksrevisorn gett riksrevisionsdirektören i uppdrag att avgöra. I dessa ärenden ansvarar riksrevisionsdirektören direkt inför riksdagen. Detsamma gäller om konstitutionsutskottet har valt en tillförordnad riksrevisor. Riksdagsförvaltningen tillhör förvisso inte kontrollmakten men utgör en viktig kugge i riksdagens arbete genom att den ger stöd åt riksdagen. När det gäller Riksbanken så väljs dess fullmäktige av riksdagen. Ingen myndighet får bestämma hur Riksbanken ska besluta i frågor som rör penningpolitik. Riksbankens självständighet kan alltså närmast sägas handla om penningpolitiken och den utgör inte en del av kontrollmakten. Nämndmyndigheterna har ingen särställning som kontrollmakt eller liknande.

Granskningen bör vara inriktad på efterlevnad och ändamålsenlighet

Enligt riksdagsstyrelsen finns det ett värde i att säkerhetsskyddsbestämmelserna för riksdagen och dess myndigheter är så lika utformade som möjligt som de som gäller för övriga statsförvaltningen, se avsnitt 5.2. Oavsett vem som får i uppgift att utföra granskningen bör därför granskningen utformas så att den i så stor utsträckning som möjligt liknar den tillsyn som utövas under säkerhetsskyddslagen. I 6 kap. 1 § andra stycket säkerhetsskyddslagen sägs att tillsynsmyndigheten ska utöva tillsyn över att verksamhetsutövare följer lagen

28Framst. 1999/2000:RS1 s. 36.

2021/22:RS5	6 GRANSKNING FÖR ATT UPPNÅ ETT SKYDD LIKNANDE TILLSYN ENLIGT SÄKERHETSSKYDDSLAGEN
	och de föreskrifter som har meddelats i anslutning till lagen. I likhet med ut-
	redningen anser riksdagsstyrelsen därför att en del av granskningen bör bestå
	i en granskning av att verksamheten bedrivs enligt tillämpliga säkerhets-
	skyddsbestämmelser. Med säkerhetsskyddsbestämmelser kan avses såväl be-
	stämmelser i lag som det interna regelverk myndigheterna har i form av före-
	skrifter, riktlinjer, instruktioner, rutiner och liknande.
	Till skillnad från de myndigheter som lyder under regeringen, och därmed
	ska följa förordningar och föreskrifter från t.ex. Säkerhetspolisen, är riksdagen
	och dess myndigheter självreglerande utöver lagen om säkerhetsskydd i riks-
	dagen och dess myndigheter. Det är således de själva (för riksdagens del Riks-
	dagsförvaltningen, genom att den har ansvar för säkerheten i riksdagen) som
	har att ta fram kompletterande bestämmelser till lagen om säkerhetsskydd i
	riksdagen och dess myndigheter samt säkerhetsskyddslagen i tillämpliga delar.
	Riksdagsstyrelsen betvivlar inte att arbetet med att ta fram sådana bestämmel-
	ser görs med största noggrannhet. För att få ytterligare en kontrollstation där
	ett helhetsperspektiv är i fokus anser dock riksdagsstyrelsen, som också utred-
	ningen föreslår, att det i granskningen även bör ingå en granskning av de in-
	terna föreskrifternas ändamålsenlighet.

6.2 Riksdagens myndigheter, efter samråd med Säkerhetspolisen, och säkerhetsskyddschefen har ansvar för granskningen

Riksdagsstyrelsens förslag: En särskild skyldighet att samråda med Säkerhetspolisen vid granskning läggs på riksdagens myndigheter. De ska som en del i kontrollen av säkerhetsskyddet i den egna verksamheten och sådan verksamhet de svarar för, efter samråd med Säkerhetspolisen, vid behov besluta om att göra en granskning av verksamheten.

Säkerhetsskyddschefen ska granska att verksamheten bedrivs enligt lagen om säkerhetsskydd i riksdagen, det regelverk som har meddelats i anslutning till lagen och säkerhetsskyddslagen i tillämpliga delar. Säkerhetsskyddschefen ska också granska regelverkets ändamålsenlighet.

Utredningens förslag

Förslagen överensstämmer delvis med riksdagsstyrelsens. Utredningen föreslår dock en uppdelning av granskningsansvaret i en intern och en extern del där Säkerhetspolisen ska få ett ansvar för den externa granskningen och därmed att granska riksdagens och dess myndigheters efterlevnad av säkerhetsskyddsbestämmelserna samt ändamålsenligheten av deras interna föreskrifter.

6 GRANSKNING FÖR ATT UPPNÅ ETT SKYDD LIKNANDE TILLSYN ENLIGT SÄKERHETSSKYDDSLAGEN

2021/22:RS5

Remissinstanserna

Många remissinstanser tillstyrker förslagen, har inget att invända eller avstår från att lämna synpunkter. Riksrevisionen avstyrker dock förslaget att Säkerhetspolisen ska genomföra en extern granskning av Riksrevisionen. Granskningen riskerar att hota Riksrevisionens oberoende. Riksdagens ombudsmän (JO) efterlyser, med hänsyn till vikten av JO:s självständighet, en djupare analys av möjligheten att låta riksdagen utföra granskningen, möjligtvis med stöd av Säkerhetspolisen. Riksbanken har tillstyrkt utredningens förslag och har under den fortsatta beredningen av framställningen angett att den förordar utredningens förslag där Säkerhetspolisen ges ett utpekat ansvar för den externa granskningen, men med ett undantag för Riksrevisionen och Riksdagens ombudsmän för att tillgodose deras ställning.

Skälen för riksdagsstyrelsens förslag

Säkerhetsskyddsarbetet kan fördelas

Olika delar i säkerhetsskyddsarbetet kan fördelas. I både 2 kap. 1 § tredje stycket säkerhetsskyddslagen och 3 § tredje stycket lagen om säkerhetsskydd i riksdagen och dess myndigheter anges att verksamhetsutövaren ska kontrollera säkerhetsskyddet i den egna verksamheten. I 2 kap. 7 § säkerhetsskyddslagen finns det sedan den 1 december 2021 en bestämmelse som säger att den säkerhetsskyddschef som enligt huvudregeln ska finnas vid verksamhet som omfattas av säkerhetsskyddslagen ska leda och samordna säkerhetsskyddsarbetet samt kontrollera att verksamheten bedrivs enligt lagen och de föreskrifter som har meddelats i anslutning till lagen.

Utredningen gör en uppdelning av granskningen i en extern granskning och en intern granskning. Ansvaret för den externa granskningen tilldelas Säkerhetspolisen och föreslås regleras i lag. Enligt utredningen ska den interna granskningen hos Riksdagsförvaltningen, Riksbanken, Riksdagens ombudsmän och Riksrevisionen utföras av den säkerhetsskyddschef som föreslås finnas hos respektive myndighet. Till sin hjälp föreslås säkerhetsskyddschefen ha en särskild granskningsfunktion. Nämndmyndigheterna, som inte åläggs ett krav på att ha en säkerhetsskyddschef, ska kunna uppdra åt någon av riksdagens myndigheter att utföra granskningen. Utredningen föreslår vidare att säkerhetsskyddschefens ansvar ska regleras i lag och att den interna granskningen i övrigt ska regleras i myndigheternas interna föreskrifter.

Som kommer att framgå nedan delar riksdagsstyrelsen utredningens uppfattning att det behövs både en granskning där en extern aktör har ett mer utpekat ansvar och, i de fall en säkerhetsskyddschef finns, en granskning som denna har ansvar för. Riksdagsstyrelsen gör dock en annan bedömning av Sä- kerhetspolisens roll. När riksdagsstyrelsen talar om granskning gör den därför ingen uppdelning av granskningen i en intern och en extern del.

2021/22:RS5

6 GRANSKNING FÖR ATT UPPNÅ ETT SKYDD LIKNANDE TILLSYN ENLIGT SÄKERHETSSKYDDSLAGEN

Det finns ett behov av att riksdagens myndigheter involverar en extern aktör, som en del i kontrollen av säkerhetsskyddet

Ett problem vid myndigheternas granskning är, som även Riksbanken har påpekat under den fortsatta beredningen av framställningen och som ett skäl för att den av utredningen föreslagna granskningen bör väljas, att det kan vara svårt för myndigheterna att avgöra vilket eller vilka områden som bör granskas. Om inte myndigheten själv inser på vilket eller vilka områden det kan finnas brister finns en risk för att myndigheten inte heller efterfrågar en granskning av det eller de områdena. Det gör också att den möjlighet som finns genom 8 kap. 11 § säkerhetsskyddsförordningen för bl.a. riksdagen och dess myndigheter att vända sig till Säkerhetspolisen och Försvarsmakten för råd inte kan ses som tillräckligt. Riksdagsstyrelsen anser därför att det vid granskningen av säkerhetsskyddsbestämmelsernas efterlevnad och även i granskningen av det interna regelverkets ändamålsenlighet bör finnas ett krav på att myndigheterna i egenskap av verksamhetsutövare på något sätt ska ta hjälp av en extern aktör.

Riksdagsstyrelsen är medveten om att en granskning där en extern aktör har någon form av roll kan väcka konstitutionella frågor. Det är dock riksdagsstyrelsens uppfattning att de nämnda institutionerna och aktörerna kan behöva tåla en granskning för att upptäcka eventuella brister på säkerhetsskyddsområdet.29 Den självständighet som gäller för nu aktuella institutioner och aktörer innebär inte heller att de är undantagna från de regelverk som gäller för statsförvaltningen i stort. Av 1 kap. 1 § regeringsformen (förkortad RF) framgår att den offentliga makten utövas under lagarna. I 1 kap. 9 § RF föreskrivs att domstolar samt förvaltningsmyndigheter och andra som fullgör uppgifter inom den offentliga förvaltningen i sin verksamhet ska beakta allas likhet inför lagen samt iaktta saklighet och opartiskhet. Således måste t.ex. lagen om säkerhetsskydd i riksdagen och dess myndigheter följas. Frågan är då hur en sådan granskning ska utformas.

Det är inte lämpligt att ge en myndighet under regeringen något granskningsansvar

Utredningen har föreslagit att Säkerhetspolisen ges ett ansvar för att granska att lagen om säkerhetsskydd i riksdagen och dess myndigheter, föreskrifter som har meddelats i anslutning till den lagen samt säkerhetsskyddslagen i tilllämpliga delar följs. Säkerhetspolisen föreslås också granska de interna föreskrifternas ändamålsenlighet. Granskningen föreslås ske i nära dialog med den som granskas. För att slå vakt om självständigheten för riksdagen, talmannen, en enskild riksdagsledamot, en justitieombudsman (även en ställföreträdande

29Med begreppet ”institutioner” avses både riksdagen och dess myndigheter. Som framgår av bl.a. avsnitt 4.2 är det dock Riksdagsförvaltningen som svarar för säkerheten i riksdagen. Riksdagen bedriver alltså inte något eget säkerhetsskyddsarbete. Med begreppet ”aktörer” avses i den här kontexten talmannen, enskilda riksdagsledamöter, enskilda justitieombudsmän (även ställföreträdande ombudsmän), riksrevisorn (även en tillförordnad riksrevisor) och riksrevisionsdirektören.

6 GRANSKNING FÖR ATT UPPNÅ ETT SKYDD LIKNANDE TILLSYN ENLIGT SÄKERHETSSKYDDSLAGEN

2021/22:RS5

ombudsman), riksrevisorn (även en tillförordnad riksrevisor), riksrevisionsdirektören samt Riksbankens ansvar för penningpolitiken föreslås att Säkerhetspolisen inte ska kunna besluta om några åtgärder med anledning av granskningen utan bara komma med förslag till åtgärder. Som en yttersta garant för självständigheten föreslår utredningen att riksdagsstyrelsen, om det finns särskilda skäl, ska ha rätt att för riksdagens, talmannens eller en enskild riksdagsledamots del helt eller delvis neka Säkerhetspolisen att utföra en granskning samt att neka tillgång till uppgifter. Samma rätt föreslås gälla för en justitieombudsman (även en ställföreträdande ombudsman), riksrevisorn (även en tillförordnad riksrevisor), riksrevisionsdirektören samt myndigheterna Riksdagsförvaltningen, Riksbanken, Riksdagens ombudsmän och Riksrevisionen. Med särskilda skäl avses enligt utredningen t.ex. att granskningen riskerar att självständigheten för riksdagen, någon av de nyssnämnda aktörerna, alternativt Riksbankens ansvar för penningpolitiken kan komma att påverkas eller ifrågasättas eller att det ur sekretessynpunkt inte bedöms lämpligt eller möjligt att låta säkerhetsskyddschefen eller Säkerhetspolisen ta del av vissa uppgifter.

Utredningens förslag innebär alltså att en myndighet under regeringen, i form av Säkerhetspolisen, kommer att få en utpekad rätt att initiera en granskning av riksdagen och dess myndigheter. Riksdagsstyrelsen anser visserligen att utredningens förslag att Säkerhetspolisen inte ska kunna få besluta om några åtgärder och möjligheten att i vissa fall neka bl.a. granskning skapar en god grund för att kunna garantera de granskade institutionernas och aktörernas självständighet. Den åsikten har även lämnats av Riksbanken under beredningen av framställningen. Enligt riksdagsstyrelsen måste dock de synpunkter som har förts fram av Riksrevisionen och JO beaktas. Riksrevisionen menar att utredningens förslag riskerar att leda till en tveksam konstitutionell ordning där en polisiär myndighet under regeringen ges ett mandat att utöva styrning över riksdagsmyndigheter vilka i sig har till uppdrag att kontrollera regeringsmakten. JO påpekar att om förslaget genomförs kommer en myndighet under regeringen, som JO utövar tillsyn över, i praktiken att få inflytande över frågor som rör JO:s verksamhet och inre organisation.

Enligt riksdagsstyrelsens mening visar Riksrevisionens och JO:s synpunkter att det med nu gällande förutsättningar inte är lämpligt att ge en extern aktör i form av en myndighet under regeringen ett mandat att på egen hand besluta om en granskning av säkerhetsskyddet. Riksdagsstyrelsen ser heller inte tillräckliga skäl för att, som Riksbanken önskar, göra en särlösning för någon eller några av riksdagens myndigheter. Mot den bakgrunden anser riksdagsstyrelsen därför att Säkerhetspolisen, eller någon annan myndighet under regeringen, inte bör ges ett ansvar för att granska riksdagens och dess myndigheters efterlevnad av säkerhetsskyddsbestämmelserna samt det interna regelverkets ändamålsenlighet.

2021/22:RS5

6 GRANSKNING FÖR ATT UPPNÅ ETT SKYDD LIKNANDE TILLSYN ENLIGT SÄKERHETSSKYDDSLAGEN

Brist på kompetens inom säkerhetsskyddsområdet gör att det inte finns någon myndighet under riksdagen som kan utföra en granskning

Såväl Riksrevisionen som JO har i sina remissvar efterfrågat en djupare analys av möjligheten att låta en myndighet under riksdagen utföra en granskning enligt ovan. Riksdagsstyrelsen ser – liksom utredningen, Riksrevisionen och JO – konstitutionella fördelar med en sådan lösning. Dock måste, som utredningen också påpekar, den kompetensmässiga aspekten beaktas.

Säkerhetsskyddsområdet är under ständig utveckling. De som arbetar med frågor kopplade till området måste hålla sig uppdaterade om både förändringar i omvärlden och vad som i övrigt händer på området. Frågorna är inte sällan komplexa och det gäller att kunna sätta in dem i ett större sammanhang. För att kunna göra det krävs det att man på daglig basis jobbar med säkerhetsskyddsfrågor. Det kan också finnas problem med att över huvud taget rekrytera personal som har tillräckliga kunskaper. Att svårigheten att hitta kompetent personal utgör ett problem har noterats av bl.a. regeringen som i maj 2021 gav ett uppdrag till Försvarsmakten och Säkerhetspolisen att kartlägga behovet av kompetensförsörjning inom säkerhetsskyddsområdet och föreslå åtgärder som underlättar kompetensförsörjningen. Uppdraget ska redovisas till Regeringskansliet senast den 1 mars 2022. I uppdragsbeskrivningen sägs bl.a. att:

Både tillsynsmyndigheter och andra aktörer har påpekat att det är svårt att rekrytera personal med rätt kompetens. Det råder brist på personer med kunskap om säkerhetsskydd. Vidare har flera myndigheter framfört att bristen på personer med efterfrågad kompetens lett till en osund konkurrens där myndigheter med liknande behov till stor del rekryterar från varandra, vilket medför att kostnaderna för personal ökat avsevärt. Det stora behovet av kompetensförsörjning kan också förväntas öka i takt med att allt fler enskilda aktörer bedriver säkerhetskänslig verksamhet.

Regeringen konstaterar att de nya bestämmelserna i säkerhetsskyddslagen om utökade befogenheter för tillsynsmyndigheterna och kravet på att verksamhetsutövare ska vara skyldiga att ingå säkerhetsskyddsavtal i fler situationer än tidigare och samråda med tillsynsmyndigheterna inför vissa förfaranden kommer att innebära att behovet av kompetensförsörjning ökar ytterligare.30

Enligt riksdagsstyrelsen visar det sagda, precis som utredningen anför, att det inte är möjligt att låta vare sig en befintlig myndighet under riksdagen eller en nyinrättad sådan utföra granskningen.

Respektive riksdagsmyndighet ska som en del i kontrollen av säkerhetsskyddet, efter samråd med Säkerhetspolisen, vid behov besluta att göra en granskning

Riksdagsstyrelsen anser alltså att Säkerhetspolisen inte bör ha ett ansvar att granska riksdagens och dess myndigheters efterlevnad av säkerhetsskyddsbestämmelserna och det interna regelverkets ändamålsenlighet. Det innebär dock inte att Säkerhetspolisen inte kan ha någon roll alls när det gäller

30Regeringsbeslut den 20 maj 2021, Ju2018/05292 (delvis), Ju2021/02005.

6 GRANSKNING FÖR ATT UPPNÅ ETT SKYDD LIKNANDE TILLSYN ENLIGT SÄKERHETSSKYDDSLAGEN

2021/22:RS5

granskningen. Säkerhetspolisen ger redan i dag, inom ramen för 8 kap. 11 § säkerhetsskyddsförordningen, på begäran av riksdagen och dess myndigheter råd i säkerhetsskyddsfrågor. Denna rådgivningsskyldighet är värdefull och bör finnas kvar även fortsättningsvis. Enligt riksdagsstyrelsen behövs det dock en tydligare reglering som ålägger riksdagens myndigheter ett ansvar att i egenskap av verksamhetsutövare be Säkerhetspolisen om hjälp inför en granskning. Som Riksbanken har framfört under den fortsatta beredningen av framställningen är Säkerhetspolisen en av de myndigheter som har störst kunskap och kompetens inom säkerhetsskyddsområdet. Säkerhetspolisen har också erfarenhet av tillsyn inom området. Detta gör enligt riksdagsstyrelsen att Säkerhetspolisen har en överblick över var på säkerhetsskyddsområdet det kan förekomma brister och vilka områden som riksdagsmyndigheterna därför kan behöva besluta ska granskas. För att inte riskera självständigheten är det därvid viktigt att både rätten att ta initiativ till granskningen samt dess innehåll, dvs. direktiven för den, ligger hos verksamhetsutövaren och inte hos Säkerhetspolisen. Detta bör uttryckas som att myndigheten, efter samråd med Säkerhetspolisen, vid behov ska besluta att göra en granskning. För riksdagens del bör ansvaret för detta ligga på Riksdagsförvaltningen, se avsnitt 4.2 där det redogörs för att riksdagen inte bedriver något eget säkerhetsskyddsarbete utan att det görs av Riksdagsförvaltningen. Förslaget stämmer för övrigt väl överens med Riksrevisionens synpunkt att om en granskning ska utföras av en myndighet under regeringen måste den ske på Riksrevisionens initiativ och enligt direktiv som beslutas av myndigheten själv.

Hur samrådet ska gå till bör vara upp till respektive riksdagsmyndighet att själva avgöra. Samrådet behöver inte innebära att det är Säkerhetspolisen som sedan utför själva granskningen.

Hur ofta riksdagens myndigheter ska ta initiativ till en granskning, annat än att det ska ske just vid behov, är svårt att slå fast i förväg. Enligt riksdagsstyrelsen får det i stället bli beroende på faktorer som t.ex. omfattningen av den säkerhetskänsliga verksamheten, förändring av densamma och omvärldshändelser. Eftersom det redan ska ske en kontroll av säkerhetsskyddet enligt 3 § tredje stycket lagen om säkerhetsskydd i riksdagen och dess myndigheter anser riksdagsstyrelsen det lämpligt att säga att granskningen ska ske som en del i den kontrollen.

När det gäller nämndmyndigheterna är det ingen av dessa som i nuläget verkar bedöma att de bedriver säkerhetskänslig verksamhet. Det är tänkbart att denna bedömning i huvudsak kommer att gälla även framgent. För det fall en myndighet inte bedriver någon säkerhetskänslig verksamhet finns det inget säkerhetsskydd att kontrollera i enlighet med 3 § tredje stycket lagen om säkerhetsskydd i riksdagen och dess myndigheter. Följaktligen kommer det inte heller att aktualiseras någon granskning enligt den föreslagna ordningen ovan för en sådan myndighet.

Eftersom ansvaret att utföra granskningen ytterst ligger på respektive riksdagsmyndighet kommer de att behöva liknande stöd (metodstöd och samarbetsforum) som andra mindre tillsynsmyndigheter.

2021/22:RS5

6 GRANSKNING FÖR ATT UPPNÅ ETT SKYDD LIKNANDE TILLSYN ENLIGT SÄKERHETSSKYDDSLAGEN

I de fall det finns en säkerhetsskyddschef ska denna ges ett ansvar för granskningen

Riksdagsstyrelsen har redan tidigare nämnt att den delar utredningens uppfattning att säkerhetsskyddschefen, i de fall det finns en sådan funktion, ska ha ett granskningsansvar. Skälen för att det bör finnas en funktion i form av en säkerhetsskyddschef redogör riksdagsstyrelsen för i avsnitt 7.1. Vad granskningen, och därmed ansvaret, bör omfatta har diskuterats i avsnitt 6.1. Ansvaret bör alltså omfatta att granska att verksamheten bedrivs enligt tillämpliga säkerhetsskyddsbestämmelser och att det interna regelverk som finns är ändamålsenliga. Detta ansvar bör regleras i lag.

När det gäller själva ordningen för säkerhetsskyddschefens ansvar i granskningen anser riksdagsstyrelsen, som utredningen också föreslår, att den bör regleras i respektive myndighets interna föreskrifter eller liknande. Eftersom de aktuella myndigheterna ser olika ut är det lämpligast att låta det vara upp till dem själva att bestämma hur den regleringen ska se ut, både vad gäller t.ex. en eventuell granskningsfunktions konstruktion och vilka befogenheter säkerhetsskyddschefen kan tilldelas utan att riskera självständigheten för respektive institution och de aktörer som ingår där. Riksdagsstyrelsen kommer därför inte att komma med några förslag i den delen i framställningen. Något ska dock sägas om nämndmyndigheterna. Det föreslås inget krav på att de ska ha en säkerhetsskyddschef. Därmed finns det inte heller någon särskilt utpekad funktion med ansvar för granskningen utöver det ansvar som vilar på verksamhetsutövaren enligt 3 § lagen om säkerhetsskydd i riksdagen och dess myndigheter. Ingen av nämndmyndigheterna i dag verkar bedöma att de bedriver någon säkerhetskänslig verksamhet och det är tänkbart att så kommer att vara fallet även framgent. Det behöver därför, enligt riksdagsstyrelsens mening, inte införas något särskilt, lagstadgat krav för dem vad gäller ansvaret för granskningen. Det hindrar dock givetvis inte myndigheterna från att i sin interna reglering beskriva hur motsvarande granskning ska kunna uppnås.

6 GRANSKNING FÖR ATT UPPNÅ ETT SKYDD LIKNANDE TILLSYN ENLIGT SÄKERHETSSKYDDSLAGEN

2021/22:RS5

6.3Riksdagsförvaltningen, Riksbanken, Riksdagens ombudsmän och Riksrevisionen ska lämna en redovisning till riksdagen om vilka granskningar som har beslutats

Riksdagsstyrelsens förslag: Riksdagsförvaltningen, Riksbanken, Riksdagens ombudsmän och Riksrevisionen ska årligen skriftligen redovisa till riksdagen vilka granskningar som har beslutats som en del i kontrollen enligt 3 § tredje stycket lagen om säkerhetsskydd i riksdagen och dess myndigheter. Redovisningen ska för Riksbankens del lämnas till finansutskottet och för övriga myndigheters del till konstitutionsutskottet.

Utredningens förslag

Förslaget överensstämmer delvis med riksdagsstyrelsens. Utredningen föreslår att riksdagens myndigheter ska vara skyldiga att till konstitutionsutskottet respektive finansutskottet redovisa vilka granskningsinsatser som säkerhetsskyddschefen respektive Säkerhetspolisen har gjort och hur de förslag till åtgärder som har getts med anledning av granskningen har tagits om hand.

Remissinstanserna

Remissinstanserna tillstyrker förslaget, har inget att invända eller avstår från att lämna synpunkter. Säkerhetspolisen vill framhålla att det är viktigt att även säkerhetsskyddschefens granskningar och förslag på åtgärder följs upp. Säkerhetspolisen påpekar även att redovisningarna ur säkerhetssynpunkt kan komma att ha ett högt skyddsvärde.

Skälen för riksdagsstyrelsens förslag

Som bekant anser riksdagsstyrelsen att Säkerhetspolisen ska ha en annan roll än den som utredningen föreslår. Den föreslagna skyldigheten att, efter samråd med Säkerhetspolisen, vid behov besluta att göra en granskning bör dock kompletteras med ett krav på att Riksdagsförvaltningen, Riksbanken, Riksdagens ombudsmän och Riksrevisionen årligen i en skrivelse ska redovisa till riksdagen vilka granskningar som har beslutats. En sådan skrivelse kommer förvisso, såsom Säkerhetspolisen är inne på, många gånger behöva bli av övergripande karaktär. Riksdagsstyrelsen tror ändå att skrivelsen kommer att fylla en funktion, dels genom att den ytterligare inskärper vikten av att göra en granskning, dels genom att den ger berört utskott en bild av hur arbetet med säkerhetsskyddsfrågor ser ut. Tanken är alltså inte att utskotten ska ha någon granskande roll. I stället får det bli upp till utskottet att eventuellt agera utifrån vad som

2021/22:RS5	6 GRANSKNING FÖR ATT UPPNÅ ETT SKYDD LIKNANDE TILLSYN ENLIGT SÄKERHETSSKYDDSLAGEN
	framkommer av skrivelsen. För nämndmyndigheterna ser inte riksdagsstyrel-
	sen att det finns något behov av en redovisningsskyldighet.
	När det så gäller frågan vilka utskott som skrivelsen bör lämnas till delar
	riksdagsstyrelsen utredningens bedömning att det för Riksdagsförvaltningens
	(inklusive riksdagen), Riksdagens ombudsmäns och Riksrevisionens del bör
	vara konstitutionsutskottet som är mottagare av respektive myndighets skri-
	velse. Av bilagan till riksdagsordningen (förkortad RO) framgår att konstitu-
	tionsutskottet ska bereda ärenden om riksdagen och riksdagens myndigheter i
	övrigt utom Riksbanken, se tilläggsbestämmelse 7.5.1 RO. I enlighet med 11 §
	lagen med instruktion för Riksdagens ombudsmän överlämnar ombudsmän-
	nen årligen sin ämbetsberättelse till konstitutionsutskottet. Enligt 19 § lagen
	med instruktion för Riksrevisionen är det konstitutionsutskottet som svarar för
	att revision sker av Riksrevisionen. Av tilläggsbestämmelse 13.5.1 RO fram-
	går också en möjlighet till samråd mellan Riksrevisionen och konstitutionsut-
	skottet. Ett sådant samråd kan gälla Riksrevisionens arbetsordning eller andra
	frågor av organisatorisk art. Såväl Riksdagens ombudsmän som Riksrevi-
	sionen har en tät myndighetsdialog med detta utskott. Redogörelsen bereds i
	konstitutionsutskottet. När det gäller Riksdagsförvaltningen är kopplingen till
	konstitutionsutskottet inte lika tydlig. Dock har konstitutionsutskottet hand om
	bl.a. den lagstiftning som rör Riksdagsförvaltningen, och riksdagsdirektören
	redogör för verksamheten inför utskottet. Det faller sig därför mest naturligt
	att även Riksdagsförvaltningen sänder sin skrivelse till konstitutionsutskottet.
	Eftersom Riksdagsförvaltningen ska svara för bl.a. säkerheten i riksdagen
	kommer dess skrivelse alltså även att innehålla en redogörelse om riksdagen i
	detta avseende.
	Vad slutligen gäller Riksbanken finns det ett värde i att ett och samma ut-
	skott har hand om samtliga skrivelser. Dock undantas uttryckligen i bilagan
	till riksdagsordningen ärenden om Riksbanken från konstitutionsutskottets an-
	svar. I 6 kap. 4 § riksbankslagen sägs att Riksbanken minst två gånger om året
	ska lämna en skriftlig redogörelse till riksdagens finansutskott om penningpo-
	litiken. Riksdagsstyrelsen anser därför, i likhet med utredningen, att det för
	Riksbankens del i stället bör vara finansutskottet som är mottagare av skrivel-
	sen i fråga.
	Som Säkerhetspolisen anför är det viktigt att även säkerhetsskyddschefens
	granskningar och förslag till åtgärder följs upp. Vilka interna krav på uppfölj-
	ning etc. som ska finnas bör dock, enligt riksdagsstyrelsens mening, vara upp
	till respektive myndighet. Riksdagsstyrelsen kommer därför inte med något
	förslag vad gäller detta.

2021/22:RS5

7 Riksdagsförvaltningen, Riksbanken, Riksdagens ombudsmän och Riksrevisionen ska ha en säkerhetsskyddschef

7.1Det finns ett behov av en säkerhetsskyddschef med ett ansvar som inte får delegeras

Riksdagsstyrelsens förslag: Det ska införas ett krav på att det hos Riksdagsförvaltningen (då även i egenskap av ansvarig för riksdagens säkerhet), Riksbanken, Riksdagens ombudsmän och Riksrevisionen ska finnas en säkerhetsskyddschef.

Säkerhetsskyddschefen ska leda och samordna säkerhetsskyddsarbetet samt granska att verksamheten bedrivs enligt de säkerhetsskyddsbestämmelser som finns, både de som följer av lag och de som följer av myndigheternas interna regelverk. Säkerhetsskyddschefen ska också granska det interna regelverkets ändamålsenlighet.

Säkerhetsskyddschefens ansvar ska inte kunna delegeras.

Utredningens förslag

Förslaget överensstämmer med riksdagsstyrelsens.

Remissinstanserna

Majoriteten av remissinstanserna tillstyrker förslaget, har inget att invända eller avstår från att lämna synpunkter. Riksdagens ombudsmän (JO) anser dock att det bör övervägas hur kravet på en säkerhetsskyddschef förhåller sig till respektive myndighets behov. Vidare anför JO att om utredningens förslag genomförs på det sätt som föreslås är det sannolikt att myndighetens säkerhetsskyddschef själv kommer att utföra stora delar av säkerhetsskyddsarbetet. I praktiken innebär det att han eller hon också kommer att granska sitt eget arbete. I det fortsatta lagstiftningsarbetet bör ändamålsenligheten och effektiviteten med en sådan ordning övervägas ytterligare. Riksbanken har under den fortsatta beredningen av framställningen instämt i JO:s synpunkt. Säkerhetspolisen avråder från att myndigheterna i sina interna föreskrifter föreskriver att säkerhetsskyddschefen inte ska kunna fatta beslut om åtgärder med anledning av sin granskning. Det är svårt att se hur säkerhetsskyddschefen ska kunna fungera effektivt i sin roll om dennas beslutsmandat begränsas på det sättet.

2021/22:RS5	7 RIKSDAGSFÖRVALTNINGEN, RIKSBANKEN, RIKSDAGENS OMBUDSMÄN OCH RIKSREVISIONEN SKA
	HA EN SÄKERHETSSKYDDSCHEF

Skälen för riksdagsstyrelsens förslag

Det finns ett behov av en funktion med ett övergripande ansvar för säkerhetsskyddsarbetet

Ansvaret för säkerhetsskyddet ligger på den som är ytterst ansvarig för verksamhetsutövaren. I det avseendet ligger ansvaret för Riksdagsförvaltningens del på riksdagsdirektören, se 14 kap. 4 § RO där det anges att riksdagsdirektören är chef för Riksdagsförvaltningen. I och med att Riksdagsförvaltningen har ansvar för riksdagens säkerhet ansvarar riksdagsdirektören även ytterst för säkerhetsskyddet i riksdagen, med undantag för beslut om säkerhetskontroll i riksdagens lokaler vilka enligt lagen (1988:144) om säkerhetskontroll i riksdagens lokaler fattas av talmannen. När det i fortsättningen talas om Riksdagsförvaltningen avses, om inte annat anges, även förvaltningens ansvar för riksdagens säkerhetsskydd.

Vad gäller Riksbanken framgår av 9 kap. 13 § andra stycket RF att Riksbanken leds av en direktion som utses av fullmäktige. I 8 § Riksbankens arbetsordning anges bl.a. att direktionen ska se till att ett effektivt säkerhetsskydd upprätthålls i Riksbanken.

När det gäller Riksdagens ombudsmän sägs i 13 kap. 2 § andra stycket RO och 12 § lagen (1986:765) med instruktion för Riksdagens ombudsmän att chefsjustitieombudsmannen är administrativ chef och bestämmer inriktningen av verksamheten i stort. Det får anses innefatta även det yttersta ansvaret för säkerhetsskyddet.

För Riksrevisionens del ligger ansvaret på riksrevisorn, se 2 § första stycket lagen (2002:1023) med instruktion för Riksrevisionen där det anges att riksrevisorn är chef för Riksrevisionen och leder myndigheten. Med det får också anses följa det yttersta ansvaret för säkerhetsskyddet.

Utredningen har inte haft i uppdrag att utreda om det behövs en säkerhetsskyddschef även i nämndmyndigheterna under riksdagen. Riksdagsstyrelsen behandlar därför inte den frågan.

Att ansvaret för säkerhetsskyddet ytterst vilar på den som är chef för verksamhetsutövaren innebär dock inte att det är riksdagsdirektören, Riksbankens direktion, chefsjustitieombudsmannen och riksrevisorn som rent faktiskt ska arbeta med säkerhetsskyddet. Förutom att frågor som rör säkerhetsskyddet kan behöva hanteras ute i verksamheten måste det också finnas en säkerhetsskyddsorganisation. JO anför att omfattningen av den säkerhetskänsliga verksamheten varierar mellan riksdagen och dess myndigheter. Riksdagsstyrelsen är medveten om att det kan finnas sådana skillnader och att dessa gör att säkerhetsskyddsorganisationen som sådan kan behöva se olika ut hos Riksdagsförvaltningen, Riksbanken, Riksdagens ombudsmän respektive Riksrevisionen. Samtidigt finns det, som utredningen konstaterar, vissa gemensamma nämnare för myndigheterna i fråga. De säkerhetsskyddsfrågor de har att hantera blir alltmer komplexa och spänner inte sällan över flera olika områden. Som t.ex. avdelnings- eller enhetschef kan det ibland vara svårt att se helheten och att kunna beakta alla aspekter som behövs för att uppnå en lösning som är

7 RIKSDAGSFÖRVALTNINGEN, RIKSBANKEN, RIKSDAGENS OMBUDSMÄN OCH RIKSREVISIONEN SKA	2021/22:RS5
HA EN SÄKERHETSSKYDDSCHEF

fullgod och lagenlig i säkerhetsskyddsmässigt hänseende för verksamheten som helhet. För vissa av myndigheterna, framför allt Riksdagens ombudsmän och Riksrevisionen, tillkommer också det förhållandet att mängden säkerhetsskyddsklassificerade uppgifter kan variera från en dag till en annan beroende på vad myndigheterna i fråga granskar och därmed kan få tillgång till för uppgifter. Det borde också rimligen finnas ett behov hos samtliga dessa myndigheter att ha en funktion dit myndigheternas respektive ledningar (riksdagsdirektören, Riksbankens direktion, chefsjustitieombudsmannen respektive riksrevisorn) kan vända sig för att orientera sig om säkerhetsskyddsarbetet. Riksdagsstyrelsen anser därför, i likhet med utredningen, att det hos såväl Riksdagsförvaltningen (då även i egenskap av ansvarig för riksdagens säkerhet) som Riksbanken, Riksdagens ombudsmän och Riksrevisionen behövs en funktion inom respektive myndighet som har ett övergripande ansvar för säkerhetsskyddsarbetet. Detta bör gälla oavsett vilken mängd säkerhetskänslig verksamhet eller säkerhetsskyddsklassificerade uppgifter som finns.

En säkerhetsskyddschef bör ha ansvaret för ledning, samordning och granskning

Vid den närmare utformningen av vad en funktion av ovan nämnt slag ska ha för ansvar anser riksdagsstyrelsen att det är av intresse att se vad som gäller för myndigheterna under regeringen. Tidigare fanns i 2 kap. 2 § säkerhetsskyddsförordningen (2018:658) en bestämmelse som sa att vid verksamhet som förordningen gäller för skulle det, om det inte var uppenbart obehövligt, finnas en säkerhetsskyddschef som kontrollerade att verksamheten bedrivs i enlighet med vad som föreskrivs i säkerhetsskyddslagen och säkerhetsskyddsförordningen. Det framgick också att vid myndigheter skulle säkerhetsskyddschefen vara direkt underställd myndighetens chef. Sedan den 1 december 2021 finns kravet på säkerhetsskyddschef i stället i 2 kap. 7 § säkerhetsskyddslagen. Fortfarande gäller att det ska finnas en säkerhetsskyddschef, om det inte är uppenbart obehövligt. Som exempel på vad som menas med uppenbart obehövligt nämns i förarbetena att så kan vara fallet om den säkerhetskänsliga verksamheten är av en mycket begränsad omfattning. För bedömningen kan det också ha betydelse vilka säkerhetsskyddsklassificerade uppgifter som finns i verksamheten och hur säkerhetskänslig verksamheten i övrigt är.31 An- svarsområdet för säkerhetsskyddschefen har utökats och i bestämmelsen sägs att denna ska leda och samordna säkerhetsskyddsarbetet samt kontrollera att verksamheten bedrivs enligt lagen och de föreskrifter som har meddelats i anslutning till lagen. Det utökade ansvaret motiveras bl.a. med att det har framkommit att det finns ett behov av att förtydliga och utvidga säkerhetsskyddschefens roll i arbetet med att ta fram och bibehålla ett väl anpassat säkerhetsskydd. Genom att ge säkerhetsskyddschefen i uppgift att även leda och samordna säkerhetsskyddsarbetet i verksamheten stärks dennas roll ytterligare,

31Prop. 2020/21:194 s. 26.

2021/22:RS5	7 RIKSDAGSFÖRVALTNINGEN, RIKSBANKEN, RIKSDAGENS OMBUDSMÄN OCH RIKSREVISIONEN SKA
	HA EN SÄKERHETSSKYDDSCHEF
	både i förhållande till verksamhetens ledning och till säkerhetsskyddsorgani-
	sationen i övrigt.32 Vidare anges i bestämmelsen att ansvaret inte får delegeras.
	I förarbetena motiveras det med att det alltid bör finnas en person som har
	ansvaret för att kontrollera att säkerhetsskyddsregleringen följs och som har
	en helhetsbild av verksamhetens skyddsvärden och säkerhetsskydd. Om an-
	svaret delegeras uppnås inte de viktiga fördelar som finns med att säkerhets-
	skyddschefen är direkt underställd verksamhetsutövarens ledning.33 Slutligen
	regleras säkerhetsskyddschefens organisatoriska placering, vilket behandlas i
	avsnittet nedan.
	Som riksdagsstyrelsen har varit inne på i avsnitt 5.2 bör säkerhetsskydds-
	bestämmelserna för riksdagen och dess myndigheter vara utformade så att de
	i så stor utsträckning som möjligt liknar dem som gäller för den övriga stats-
	förvaltningen, om det inte finns sakliga skäl för avsteg. Med hänsyn till det
	och vad som har anförts i avsnittet ovan om behovet av en funktion med ett
	övergripande ansvar för säkerhetsskyddsarbetet anser riksdagsstyrelsen att
	funktionen i fråga bör ha ansvar för att leda myndighetens säkerhetsskyddsar-
	bete och inom ramen för det dra upp huvudlinjerna för det arbetet. Vidare bör
	det ingå ansvar för att samordna myndighetens säkerhetsskyddsarbete. Det in-
	nebär att säkerhetsskyddschefen ska vara aktiv och operativ och inte enbart
	passivt kontrollera säkerhetsskyddet i efterhand (jämför resonemanget i förar-
	betena till säkerhetsskyddslagen, se avsnitt 4.8). Säkerhetsskyddschefen bör
	också ha ansvar för att granska att verksamheten bedrivs enligt de säkerhets-
	skyddsbestämmelser som finns i lagar och i myndigheternas interna regelverk.
	Så långt är alltså ansvaret detsamma som det som gäller för en säkerhets-
	skyddschef som lyder under säkerhetsskyddslagen. Enligt riksdagsstyrelsens
	mening faller det sig därför också naturligt att funktionen benämns just säker-
	hetsskyddschef, en titel som för övrigt redan finns hos vissa av de aktuella
	myndigheterna.
	Till skillnad från de myndigheter som lyder under regeringen, och därmed
	ska följa förordningar och föreskrifter från t.ex. Säkerhetspolisen, är riksdagen
	och dess myndigheter självreglerande utöver lagen om säkerhetsskydd i riks-
	dagen och dess myndigheter. Riksdagsstyrelsen betvivlar inte att framtagandet
	av föreskrifter och liknande på säkerhetsskyddsområdet görs med största nog-
	grannhet. Säkerhetsskyddschefen har troligen många gånger en framträdande
	roll i det arbetet. Enligt riksdagsstyrelsens mening bör dock säkerhetsskydds-
	chefen även ha ett lagstadgat ansvar för att granska det interna regelverkets
	ändamålsenlighet.
	När det så gäller frågan om huruvida säkerhetsskyddschefens ansvar ska
	kunna delegeras delar riksdagsstyrelsen utredningens bedömning att så inte
	bör kunna ske. En möjlighet att delegera skulle förta tanken bakom att ha en
	funktion som har ett övergripande ansvar för säkerhetsskyddsfrågorna. Det
	ligger också i linje med vad som gäller enligt säkerhetsskyddslagens
	32 Prop. 2020/21:194 s. 25 f.
	33 Prop. 2020/21:194 s. 26.

7 RIKSDAGSFÖRVALTNINGEN, RIKSBANKEN, RIKSDAGENS OMBUDSMÄN OCH RIKSREVISIONEN SKA	2021/22:RS5
HA EN SÄKERHETSSKYDDSCHEF

bestämmelse om säkerhetsskyddschef. Vad funktionen i övrigt bör ha för uppgifter och befogenheter bör, som riksdagsstyrelsen har varit inne på i avsnitt 6.2, vara upp till respektive myndighet att avgöra och reglera i sitt interna regelverk. Säkerhetspolisens påpekande att det är svårt att se hur säkerhetsskyddschefen ska kunna fungera effektivt i sin roll om dennas beslutsmandat begränsas kommer därför inte att beröras ytterligare i framställningen.

Säkerhetsskyddschefen kan komma att granska sig själv

I likhet med utredningen tror riksdagsstyrelsen att det i myndigheter som har en säkerhetsskyddsorganisation med fler än ett fåtal medarbetare kommer att vara så att huvuddelen av det dagliga säkerhetsskyddsarbetet, där en stor del av tillämpningen av säkerhetsskyddsbestämmelserna sker, utförs av andra än säkerhetsskyddschefen. I myndigheter med en liten säkerhetsskyddsorganisation kan det dock, som såväl utredningen som JO och Riksbanken påpekar, hända att säkerhetsskyddschefen i viss mån vid granskningen kommer att granska även sitt eget arbete.

Riksdagsstyrelsen ser dock inte det ovan sagda som ett problem för vare sig effektiviteten eller ändamålsenligheten. I små myndigheter är det inte ovanligt att en och samma person innehar flera funktioner. Det viktiga är att säkerhetsskyddschefen håller isär sina olika roller – som har nämnts i avsnittet ovan ligger det i säkerhetsskyddschefens ansvar att vara aktiv och operativ och inte enbart passivt kontrollera säkerhetsskyddet i efterhand. För det fall säkerhetsskyddschefen önskar råd i dessa roller kan myndigheten med stöd av 8 kap. 11 § säkerhetsskyddsförordningen vända sig till Säkerhetspolisen.

7.2Myndigheterna ska själva få avgöra den organisatoriska placeringen

Riksdagsstyrelsens förslag: Säkerhetsskyddschefens organisatoriska placering ska inte regleras i lag.

Utredningens förslag

Förslaget överensstämmer inte med riksdagsstyrelsens. Utredningen föreslår att det av lag ska framgå att säkerhetsskyddschefen ska vara direkt underställd riksdagsdirektören, Riksbankens direktion, chefsjustitieombudsmannen respektive riksrevisorn.

Remissinstanserna

Många remissinstanser tillstyrker förslaget, har inget att invända eller avstår från att lämna synpunkter. Riksbanken anser dock att säkerhetsskyddschefens ställning och organisatoriska placering inte bör regleras i lag. Enligt Riksbanken

2021/22:RS5	7 RIKSDAGSFÖRVALTNINGEN, RIKSBANKEN, RIKSDAGENS OMBUDSMÄN OCH RIKSREVISIONEN SKA
	HA EN SÄKERHETSSKYDDSCHEF
	står utredningens förslag i konflikt med det förslag till ny 7 kap. 1 § lagen om
	Sveriges riksbank som bereds inom Regeringskansliet. Riksrevisionen är av
	uppfattningen att säkerhetsskyddschefens organisatoriska placering inte bör
	regleras i lag utan att det bör vara upp till varje enskild myndighet att avgöra.

Skälen för riksdagsstyrelsens förslag

För att säkerhetsskyddsfrågorna ska ges hög prioritet och för att förbättra förutsättningarna för att de uppmärksammas och beaktas i den dagliga styrningen av verksamheten anser utredningen att säkerhetsskyddschefen bör vara direkt underställd riksdagsdirektören, Riksbankens direktion, chefsjustitieombudsmannen respektive riksrevisorn. Ett liknande synsätt finns i förarbetena till bestämmelsen om säkerhetsskyddschef i säkerhetsskyddslagen, se redogörelsen i avsnitt 4.8.

Riksdagsstyrelsen delar bedömningen att det är viktigt att säkerhetsskyddschefen finns nära verksamhetsutövarens ledning och chef. Vid bedömningen av om säkerhetsskyddschefens organisatoriska placering ska slås fast i lag eller inte måste det dock tas i beaktande att de myndigheter som nu är i fråga – Riksdagsförvaltningen, Riksbanken, Riksdagens ombudsmän och Riksrevisionen – alla är organiserade på olika sätt, se mer om deras organisation i avsnitt 7.1. Till det kommer Riksbankens synpunkt att utredningens förslag står i konflikt med regeringens förslag till ny 7 kap. 1 § lagen om Sveriges riksbank, se propositionen En ny riksbankslag (prop. 2021/22:41). Enligt riksdagsstyrelsen gör detta att det i dagsläget inte är lämpligt att för de aktuella myndigheterna i lag reglera säkerhetsskyddschefens organisatoriska placering. Det får i stället vara upp till respektive myndighet att avgöra detta, givetvis med beaktande av vikten av att säkerhetsskyddschefen har en tät och nära dialog med ledningen.

2021/22:RS5

8En anmälningsskyldighet för säkerhetshotande händelser och verksamhet införs

8.1Säkerhetshotande händelser och verksamhet ska skyndsamt anmälas till Säkerhetspolisen

Riksdagsstyrelsens förslag: Det ska införas en skyldighet för riksdagen och dess myndigheter att, i egenskap av verksamhetsutövare, skyndsamt anmäla säkerhetshotande händelser och verksamhet i den egna verksamheten till Säkerhetspolisen.

Utredningens förslag

Förslaget överensstämmer med riksdagsstyrelsens.

Remissinstanserna

Remissinstanserna tillstyrker förslaget, har inget att invända eller avstår från att lämna synpunkter. Säkerhetspolisen anför att den ser särskilt positivt på bl.a. förslaget om anmälningsskyldighet till Säkerhetspolisen.

Skälen för riksdagsstyrelsens förslag

Det finns behov av en anmälningsskyldighet även för riksdagen och dess myndigheter

Enligt 2 kap. 1 § tredje stycket säkerhetsskyddslagen är en verksamhetsutövare skyldig att anmäla och rapportera sådant som är av vikt för säkerhetsskyddet. Av 2 kap. 4 § säkerhetsskyddsförordningen framgår att säkerhetshotande händelser och verksamhet ska anmälas skyndsamt till Säkerhetspolisen och ibland även till Försvarsmakten. Enligt den nämnda bestämmelsen ska anmälan ske

–om det finns skäl att anta en säkerhetsskyddsklassificerad uppgift otillåtet har röjts

–om det inträffat en it-incident i ett informationssystem som verksamhetsutövaren är ansvarig för och som har betydelse för säkerhetskänslig verksamhet och där incidenten allvarligt kan påverka säkerheten i systemet

–om verksamhetsutövaren får kännedom eller misstanke om någon annan för denne allvarlig säkerhetshotande verksamhet.

Ett krav att till Myndigheten för samhällsskydd och beredskap (MSB) skyndsamt rapportera vissa it-incidenter framgår av 20 § första stycket förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap.

2021/22:RS5	8 EN ANMÄLNINGSSKYLDIGHET FÖR SÄKERHETSHOTANDE HÄNDELSER OCH VERKSAMHET INFÖRS
	För riksdagen och dess myndigheter gäller dock ingen av de ovan nämnda
	bestämmelserna. Det finns inte heller några motsvarande bestämmelser i lagen
	om säkerhetsskydd i riksdagen och dess myndigheter. Endast en av riksdagens
	myndigheter har en intern reglering som innebär en extern rapportering av in-
	cidenter.
	Riksdagsstyrelsen delar utredningens uppfattning att en anmälningsskyl-
	dighet utgör en viktig beståndsdel i säkerhetsskyddet både för Sverige och för
	enskilda verksamhetsutövare. Skyldigheten bidrar till att ge framför allt Sä-
	kerhetspolisen en överblick över och bredare kunskap om vilka skyddsvärden,
	hot och sårbarheter som finns. Det i sin tur gör att Säkerhetspolisen bättre kan
	stötta verksamhetsutövare med råd och stöd. Det finns i och för sig inget som
	hindrar att riksdagen och dess myndigheter redan i dag, i de kontakter de har
	med t.ex. Säkerhetspolisen och Försvarsmakten, meddelar hot och incidenter
	som har inträffat. Säkerhetspolisen och Försvarsmakten har också en uttalad
	rådgivningsskyldighet, se 8 kap. 11 § första stycket säkerhetsskyddsförord-
	ningen. Det faktum att det inte är obligatoriskt även för riksdagen och dess
	myndigheter att anmäla säkerhetshotande händelser och verksamhet i den egna
	verksamheten medför dock att det saknas en viktig pusselbit i säkerhetsskyd-
	det, både för Sverige som land och för riksdagen och dess myndigheter.
	Riksdagsstyrelsen anser därför att det, för att stärka säkerhetsskyddet för
	riksdagen och dess myndigheter och Sveriges säkerhet, finns ett behov av en
	ordning även för riksdagen och dess myndigheter där dessa är skyldiga att
	skyndsamt anmäla vissa hot och incidenter som förekommer i den egna verk-
	samheten till en extern aktör. Riksdagsstyrelsens bedömning är att en sådan
	anmälningsskyldighet är tillräcklig och att det för riksdagen och dess myndig-
	heters del inte behövs en skyldighet att även rapportera it-incidenter på det sätt
	som framgår av 20 § första stycket förordningen om krisberedskap och bevak-
	ningsansvariga myndigheters åtgärder vid höjd beredskap.
	Hur en anmälningsskyldighet av det slag som föreslås ovan bör regleras,
	den närmare omfattningen av den och att Säkerhetspolisen bör vara den myn-
	dighet dit anmälan ska ske redogörs för i avsnitten nedan.
	Anmälningsskyldigheten ska regleras i lag med närmare precisering i
	föreskrifter
	Riksdagsstyrelsen instämmer i utredningens förslag att skyldigheten för riks-
	dagen och dess myndigheter att skyndsamt anmäla säkerhetshotande händelser
	och verksamhet till Säkerhetspolisen bör framgå av lagen om säkerhetsskydd
	i riksdagen och dess myndigheter. På det sättet betonas vikten av anmälnings-
	skyldigheten än mer.
	När det så gäller vad som avses med säkerhetshotande händelser och verk-
	samhet, dvs. vad som i detalj ska anmälas, regleras det för den del av statsför-
	valtningen som lyder under säkerhetsskyddslagen i säkerhetsskyddsförord-
	ningen och i föreskrifter utfärdade med stöd av den förordningen. Som Riks-
	dagsstyrelsen har anfört är dess uppfattning att säkerhetsskyddsbestämmelserna

8 EN ANMÄLNINGSSKYLDIGHET FÖR SÄKERHETSHOTANDE HÄNDELSER OCH VERKSAMHET INFÖRS

2021/22:RS5

för riksdagen och dess myndigheter respektive övriga statsförvaltningen som huvudregel ska vara så lika som möjligt. Vad som kommer till uttryck i 2 kap. 4 § säkerhetsskyddsförordningen skulle därför kunna fungera som utgångspunkt även för riksdagen och dess myndigheter. För riksdagen och dess myndigheter står dock förordningsmöjligheten inte till buds. I stället får det bli upp till respektive myndighet att internt ta fram närmare regler för när anmälan ska göras. Sådana regler kan t.ex. meddelas med stöd av bemyndigandet i 14 § lagen om säkerhetsskydd i riksdagen och dess myndigheter.

Anmälan bör ske till Säkerhetspolisen

Riksdagsstyrelsen anser liksom utredningen att anmälan bör ske till Säkerhetspolisen. Visserligen sägs i betänkandet Säkerhetsskyddsreglering för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet (Ds 2020:11) i fråga om en eventuell anmälningsskyldighet för bl.a. Regeringskansliet vid säkerhetshotande händelser och verksamhet att Regeringskansliet, på grund av det lydnadsförhållande som finns mellan regeringen och myndigheterna, bör undantas från krav på informationsplikt med en tillsynsmyndighet. Riksdagsstyrelsen kan dock inte se att samma argument gör sig gällande vad gäller en anmälningsskyldighet för riksdagen och dess myndigheter, särskilt inte eftersom Säkerhetspolisen inte är en tillsynsmyndighet till dessa. För övrigt är det till Säkerhetspolisen som anmälan enligt 2 kap. 4 § första stycket säkerhetsskyddsförordningen görs. Det är också dit som rapportering om det bedrivs s.k. särskilt säkerhetskänslig verksamhet i huvudsak görs, se 2 kap. 6 § Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd. Ett av skälen för att föreslå en anmälningsskyldighet är också att den ska bidra till Säkerhetspolisens överblick. Som redan har nämnts har Säkerhetspolisen dessutom en rådgivningsskyldighet gentemot riksdagen och dess myndigheter.

Enligt riksdagsstyrelsen finns det inte någon risk att en anmälningsskyldighet till Säkerhetspolisen kan komma att skada de aktuella institutionernas eller aktörernas självständighet. Den tänkta rollen för Säkerhetspolisen när det gäller anmälningsskyldigheten handlar om en typ av informationsinsamling för att ytterligare öka Säkerhetspolisens överblick över och kunskap om vilka skyddsvärden, hot och sårbarheter som finns. Säkerhetspolisen kan sedan använda dessa kunskaper för att ge råd i de fall riksdagen och dess myndigheter efterfrågar sådana i enlighet med 8 kap. 11 § första stycket säkerhetsskyddsförordningen.

2021/22:RS5

8 EN ANMÄLNINGSSKYLDIGHET FÖR SÄKERHETSHOTANDE HÄNDELSER OCH VERKSAMHET INFÖRS

8.2Bestämmelserna om personuppgiftsincidenter i EU:s dataskyddsförordning ska inte gälla vid en anmälningsskyldighet till Säkerhetspolisen

Riksdagsstyrelsens förslag: Undantaget i lagen med kompletterande bestämmelser till EU:s dataskyddsförordning om att artiklarna 33 och artikel 34 i EU:s dataskyddsförordning inte tillämpas i fråga om vissa personuppgiftsincidenter ska gälla även personuppgiftsincidenter som ska rapporteras enligt lagen om säkerhetsskydd i riksdagen och dess myndigheter eller enligt föreskrifter som har meddelats i anslutning till den lagen.

Utredningens förslag

Förslaget överensstämmer med riksdagsstyrelsens.

Remissinstanserna

Remissinstanserna tillstyrker förslaget, har inget att invända eller avstår från att lämna synpunkter.

Skälen för riksdagsstyrelsens förslag

Av 1 kap. 4 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, förkortad dataskyddslagen, framgår att artiklarna 33 om anmälan av en personuppgiftsincident till tillsynsmyndigheten (för Sveriges del Integritetsskyddsmyndigheten) och artikel 34 om information till den registrerade om en personuppgiftsincident i dataskyddsförordningen inte tilllämpas i fråga om personuppgiftsincidenter som ska rapporteras enligt säkerhetsskyddslagen eller föreskrifter som har meddelats i anslutning till den lagen. Eftersom riksdagsstyrelsen föreslår en anmälningsskyldighet för riksdagen och dess myndigheter avseende bl.a. vissa incidenter finns det anledning att se över om undantaget i 1 kap. 4 § dataskyddslagen ska gälla även vid en sådan anmälningsskyldighet.

Enligt artikel 2.2 a i dataskyddsförordningen ska förordningen inte tillämpas på behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten. I skäl 16 till dataskyddsförordningen anges verksamhet som rör nationell säkerhet som ett exempel på en sådan verksamhet. Sverige har dock valt att utsträcka tillämpningsområdet för såväl dataskyddsförordningen som dataskyddslagen. Enligt 1 kap. 2 § dataskyddslagen ska bestämmelserna i dataskyddsförordningen, i den ursprungliga lydelsen, och dataskyddslagen gälla även vid behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten och i verksamhet

8 EN ANMÄLNINGSSKYLDIGHET FÖR SÄKERHETSHOTANDE HÄNDELSER OCH VERKSAMHET INFÖRS

2021/22:RS5

som omfattas av avdelning V kapitel 2 i fördraget om Europeiska unionen. Detta brukar kallas för det utsträckta tillämpningsområdet.34

Samtidigt framgår av 1 kap. 3 och 4 §§ dataskyddslagen att viss verksamhet som har bäring på Sveriges säkerhet ska undantas från det utsträckta tillämpningsområdet. Enligt förarbetena till 1 kap. 4 § dataskyddslagen måste det av säkerhetsskyddsskäl ställas höga krav på informationssäkerheten för uppgifter som kan avslöja svagheter i skyddet av uppgifter som rör rikets säkerhet eller mot terrorism, i synnerhet när uppgifterna kan ge en samlad bild av sådana svagheter. Dokumentation kring incidenter kommer att visa på sårbarheter i berörda system och kan t.ex. visa på hur man kan kringgå skyddsåtgärder för att få obehörig tillgång till systemen. Kunskap om en personuppgiftsincident kan på så vis ge en motståndare uppgifter som underlättar vidare angrepp och inhämtning. Sådana uppgifter bör därför inte spridas till fler myndigheter än vad som är nödvändigt. Incidentrapporteringen enligt bl.a. säkerhetsskyddsförordningen tar visserligen inte främst sikte på säkerhetsincidenter där personuppgifter på olika sätt röjts. Oavsett anledningen till att en it-incident rapporteras syftar en sådan rapportering till att uppmärksamma brister i skyddet av information för att därefter vidta åtgärder för att säkerställa detta. Om en itincident inträffar i ett system med personuppgifter kommer alltså de skyddsåtgärder och säkerhetshöjande åtgärder som vidtas med anledning av incidenten att stärka skyddet även för personuppgifterna och därmed för den personliga integriteten. Mot bakgrund av behovet av skydd för rikets säkerhet anser regeringen att det bör införas en begränsning i fråga om tillämpningen av dataskyddsförordningen utanför dess egentliga tillämpningsområde, när det gäller bestämmelserna om personuppgiftsincidenter. Eftersom dataskyddsförordningen egentligen inte gäller i verksamhet som rör nationell säkerhet finns det enligt regeringen heller inga unionsrättsliga hinder mot en sådan begränsning.35

Regleringen i 1 kap. 4 § dataskyddslagen innebär som nämnts att bestämmelserna i EU:s dataskyddsförordning om anmälan till tillsynsmyndigheten av en personuppgiftsincident samt om information till den registrerade om en sådan incident inte ska tillämpas i fråga om incidenter som ska rapporteras (eller för att använda en annan term – anmälas) enligt säkerhetsskyddslagen eller föreskrifter som har meddelats i anslutning till den lagen. Riksdagsstyrelsen instämmer i utredningens bedömning att motsvarande säkerhetsskyddsskäl gör sig gällande även när det handlar om en anmälan gjord av riksdagen och dess myndigheter enligt den ordning som har beskrivits i avsnitten ovan. Följaktligen bör det av dataskyddslagen framgå att artiklarna 33 och 34 i dataskyddsförordningen inte heller ska tillämpas i fråga om personuppgiftsincidenter som ska anmälas enligt lagen om säkerhetsskydd i riksdagen och dess myndigheter eller föreskrifter som har meddelats i anslutning till den lagen.

34Se prop. 2017/18:105 s. 28 f.

35Prop. 2017/18:105 s. 35.

2021/22:RS5

9 Nya bestämmelser införs om säkerhetsskyddsavtal

9.1Skyldigheten att ingå säkerhetsskyddsavtal utvidgas

Riksdagsstyrelsens förslag: Skyldigheten att ingå säkerhetsskyddsavtal ska utvidgas på så sätt att den även ska gälla andra förfaranden än upphandlingar och andra anskaffningar. Den utvidgade skyldigheten innebär att en verksamhetsutövare i form av en myndighet under riksdagen som avser att genomföra en upphandling, ingå ett avtal eller inleda en samverkan eller ett samarbete med en annan aktör, ska ingå ett säkerhetsskyddsavtal med aktören, om aktören genom förfarandet kan få tillgång till

1.säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller

2.annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

Under i övrigt samma förutsättningar ska myndigheten även ingå säkerhetsskyddsavtal med de underleverantörer som anlitas för att fullgöra den andra aktörens förpliktelse.

Det ska förtydligas att säkerhetsskyddsavtal ska ingås innan motparten kan få tillgång till den säkerhetskänsliga verksamheten.

Utredningens förslag

Förslaget överensstämmer med riksdagsstyrelsens.

Remissinstanserna

Remissinstanserna tillstyrker förslaget, har inget att invända eller avstår från att lämna synpunkter. Riksbanken anser dock att det behöver klargöras om de föreslagna kraven på bl.a. säkerhetsskyddsavtal mellan myndigheter endast gäller för avtal och samarbeten mellan svenska myndigheter eller om kraven även gäller för avtal och samarbeten med utländska myndigheter, internationella organisationer och EU-institutioner. Vidare vill Riksbanken att riksdagens och dess myndigheters ställning klargörs i frågan om kraven på generella säkerhetsskyddsavtal (general security agreement, GSA) vid överlämnande av säkerhetsskyddsklassificerade uppgifter till, eller deltagande i säkerhetsskyddad verksamhet med utländsk myndighet, företag eller mellanfolklig organisation. Över huvud taget behöver frågan om internationellt samarbete för riksdagen och dess myndigheter ses över för att säkerställa att det finns regelverk

9 NYA BESTÄMMELSER INFÖRS OM SÄKERHETSSKYDDSAVTAL

2021/22:RS5

som gör det möjligt att både bibehålla ett gott säkerhetsskydd och utföra uppdrag inom den internationella arenan. Riksrevisionen anser att det är angeläget att det tydligt klarläggs att kravet på säkerhetsskyddsavtal inte gäller när Riksrevisionen inhämtar information som behövs för Riksrevisionens granskning. Det förekommer situationer där Riksrevisionen betalar viss ersättning till en annan myndighet för att erhålla viss information, t.ex. sammanställningar av statistik från Statistiska centralbyrån. Inte heller i de fallen är det enligt Riksrevisionens mening rimligt att ställa krav på säkerhetsskyddsavtal.

Skälen för riksdagsstyrelsens förslag

Det finns för riksdagens myndigheter ett behov av att utvidga kravet på säkerhetsskyddsavtal

En grundläggande princip inom säkerhetsskyddet är att säkerhetskänslig verksamhet ska ha samma skydd oavsett var och hur den bedrivs. En följd av principen är att en verksamhetsutövare som avser att dela säkerhetsskyddsklassificerade uppgifter med någon utomstående eller ge en utomstående tillgång till säkerhetskänslig verksamhet måste se till att säkerhetsskyddet upprätthålls.

Av 12 § lagen om säkerhetsskydd i riksdagen och dess myndigheter framgår att om en myndighet som omfattas av lagen avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader ska den se till att det i ett säkerhetsskyddsavtal anges hur kraven på säkerhetsskydd enligt 3 § samma lag ska tillgodoses av leverantören om det i upphandlingen förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre eller upphandlingen i övrigt avser eller ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Myndigheten ska också kontrollera att leverantören följer säkerhetsskyddsavtalet. För riksdagen (genom Riksdagsförvaltningen), Riksdagsförvaltningen, Riksbanken och Riksrevisionen finns det dessutom för respektive institution ett internt regelverk i fråga om säkerhetsskyddsavtal.

Lagen om säkerhetsskydd i riksdagen och dess myndigheter med tillhörande interna föreskrifter innehåller alltså krav på säkerhetsskyddsavtal endast vid vissa typer av anskaffningar, närmare bestämt vid vissa typer av upphandlingar. Det finns inte heller något särskilt angivet om vad som gäller i fråga om underleverantörer. Med tanke på den roll riksdagens myndigheter har anser riksdagsstyrelsen att det, i likhet med vad som gäller enligt säkerhetsskyddslagen sedan den 1 december 2021, finns ett behov av utvidgade och förtydligade bestämmelser om säkerhetsskyddsavtal samt bestämmelser om utkontraktering och liknande förfaranden. Sådana hjälper till att hantera riskerna vid dylika förfaranden och stärker skyddet för säkerhetsskyddsklassificerade uppgifter och annan säkerhetskänslig verksamhet. De är också ett stöd för hur myndigheterna ska agera. Riksdagsstyrelsen delar också utredningens bedömning att bestämmelserna bör gälla endast riksdagens myndigheter och inte riksdagen. Riksdagsstyrelsen anser vidare att bestämmelserna bör placeras i lagen om säkerhetsskydd i riksdagen och dess myndigheter. På så vis betonas

2021/22:RS5	9 NYA BESTÄMMELSER INFÖRS OM SÄKERHETSSKYDDSAVTAL
	bestämmelsernas betydelse och det uppnås en likformighet mellan myndighet-
	erna. Det hindrar dock inte en kompletterande intern reglering hos respektive
	myndighet, utöver nya lagbestämmelser.
	Kravet på säkerhetsskyddsavtal kopplas till exponeringen av
	säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig
	verksamhet
	Riksdagsstyrelsen anser, i likhet med hur regeringen resonerar i propositionen
	Ett starkare skydd för Sveriges säkerhet (prop. 2020/21:194), att mot bakgrund
	av de risker för Sveriges säkerhet som avsaknad av säkerhetsskyddsavtal kan
	innebära i vissa situationer – och i linje med principen om att säkerhetskänslig
	verksamhet ska ha samma skydd oavsett var och hur verksamheten bedrivs –
	bör skyldigheten att ingå säkerhetsskyddsavtal inte vara begränsad till offent-
	lig upphandling och andra anskaffningar. I stället bör risken för att en annan
	aktör får tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt sä-
	kerhetskänslig verksamhet vara avgörande.
	Kravet i lagen om säkerhetsskydd i riksdagen och dess myndigheter om
	säkerhetsskyddsavtal bör därför, som utredningen föreslår, utökas så att det
	gäller när någon av riksdagens myndigheter avser att genomföra en upphand-
	ling, ingå ett avtal eller inleda en samverkan eller ett samarbete med en annan
	aktör under förutsättning att aktören genom förfarandet kan få tillgång till sä-
	kerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell
	eller högre, eller annan säkerhetskänslig verksamhet av motsvarande betydelse
	för Sveriges säkerhet. Vissa undantag bör dock finnas, se mer om dem nedan.
	Riksdagsstyrelsen anser också att det i lagen om säkerhetsskydd i riksdagen
	och dess myndigheter bör tydliggöras att riksdagens myndigheter är skyldiga
	att ingå ett säkerhetsskyddsavtal även med en underleverantör som anlitas för
	att fullgöra den andra aktörens förpliktelse, om underleverantören genom sitt
	uppdrag kan få tillgång till säkerhetsskyddsklassificerade uppgifter i säker-
	hetsskyddsklassen konfidentiell eller högre, eller annan säkerhetskänslig verk-
	samhet av motsvarande betydelse för Sveriges säkerhet. Likaså bör det tydlig-
	göras att ett säkerhetsskyddsavtal ska ingås innan motparten kan få tillgång till
	den säkerhetskänsliga verksamheten, detta för att verksamheten aldrig ska stå
	utan skydd.
	Riksrevisionen efterfrågar ett klarläggande av att kravet på säkerhets-
	skyddsavtal inte gäller när Riksrevisionen på olika sätt hämtar in information
	som behövs för dess granskning. Vad först gäller den situationen att uppgifter
	hämtas in från en aktör som omfattas av säkerhetsskyddslagen med tillhörande
	reglering, som t.ex. myndigheterna under regeringen, konstaterar riksdagssty-
	relsen att den inte kan uttala sig. Noteras kan dock att det i förarbetena till
	säkerhetsskyddslagen anges att kravet på säkerhetsskyddsavtal inte bör utvid-
	gas till att omfatta situationer när en myndighet har makt att med tvång bereda
	sig tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhets-

9 NYA BESTÄMMELSER INFÖRS OM SÄKERHETSSKYDDSAVTAL

2021/22:RS5

känslig verksamhet.36 För fall där JO eller Riksrevisionen granskar en myndighet under riksdagen och hämtar in uppgifter från den myndigheten anser riksdagsstyrelsen att den situationen inte kan betecknas som ett avtal, ett samarbete eller en samverkan. Redan därför framstår det som mindre naturligt att ställa krav på att det ska ingås ett säkerhetsskyddsavtal. Att skyldigheten att träffa säkerhetsskyddsavtal inte bör gälla i sådana situationer behöver därför, i likhet med vad utredningen anför, inte anges särskilt.

Säkerhetsskyddsavtal och utländska aktörer

Riksbanken efterfrågar i sitt remissvar bl.a. ett klargörande av om de föreslagna kraven på säkerhetsskyddsavtal gäller för avtal och samarbeten med utländska myndigheter, internationella organisationer och EU-institutioner. Frågan om de nya bestämmelsernas giltighet vid dylika förhållanden har inte behandlats i betänkandet. Som redan har anförts är dock den grundläggande principen att säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet ska ha samma nivå av säkerhetsskydd oavsett i vilken verksamhet uppgifterna förekommer eller var verksamheten bedrivs. En verksamhetsutövare som avser att dela säkerhetsskyddsklassificerade uppgifter med någon utomstående eller ge en utomstående tillgång till säkerhetskänslig verksamhet måste se till att säkerhetsskyddet upprätthålls. Enligt riksdagsstyrelsens mening innebär det att även avtal och samarbeten med utländska myndigheter, internationella organisationer och EU-institutioner kan komma att omfattas av bestämmelserna om säkerhetsskyddsavtal. Ytterst är det upp till verksamhetsutövaren att bedöma i vilka fall det kan bli aktuellt.

Riksbanken anför också att utredningen inte innehåller någon bestämmelse som ålägger riksdagen och dess myndigheter att följa generella säkerhetsskyddsavtal (GSA) i vissa fall och undrar hur riksdagen och dess myndigheter bör agera i sådana situationer. Riksdagsstyrelsen konstaterar, i likhet med Riksbanken, att 3 kap. 9 § säkerhetsskyddsförordningen som innehåller bestämmelser om internationella säkerhetsskyddsåtaganden inte är tillämplig på riksdagen och dess myndigheter. Om, och i så fall i vilken omfattning, riksdagen och dess myndigheter ändå kan vara bundna av internationella säkerhetsskyddsåtaganden som Sverige har ingått kräver dock en noggrann analys. I nuläget finns det inget beredningsunderlag i den frågan, varför riksdagsstyrelsen inte kan behandla den här. Detsamma gäller Riksbankens önskemål om att se över frågan om internationellt samarbete för riksdagen och dess myndigheter.

36Prop. 2020/21:194 s. 32.

2021/22:RS5

9 NYA BESTÄMMELSER INFÖRS OM SÄKERHETSSKYDDSAVTAL

9.2Den utvidgade skyldigheten att ingå säkerhetsskyddsavtal ska ha undantag

Riksdagsstyrelsens förslag: Mellan riksdagens myndigheter och mellan sådana myndigheter och andra statliga myndigheter gäller kravet på säkerhetsskyddsavtal endast vid anskaffning av en vara, tjänst eller byggentreprenad.

Kravet på säkerhetsskyddsavtal gäller inte heller när Riksdagsförvaltningen inom ramen för sina huvuduppgifter tillhandahåller resurser och service för talmannens, kammarens, utskottens och övriga riksdagsorganens verksamhet samt för riksdagsledamöterna och partikanslierna.

Om det finns särskilda skäl får en myndighet i ett enskilt fall besluta om undantag från skyldigheten att ingå säkerhetsskyddsavtal.

Utredningens förslag

Förslaget överensstämmer med riksdagsstyrelsens.

Remissinstanserna

Remissinstanserna tillstyrker förslaget, har inget att invända eller avstår från att lämna synpunkter. Riksbanken efterfrågar ett klargörande i frågan om huruvida de föreslagna undantagen från säkerhetsskyddsavtal vid samarbeten och samverkan även gäller när motparten är en utländska myndighet, en internationell organisation eller en EU-institution. Försvarets radioanstalt (FRA) noterar att tjänster som FRA kan tillhandahålla med stöd av 4 § förordningen (2007:937) med instruktion för Försvarets radioanstalt kan komma att omfattas av kravet på säkerhetsskyddsavtal beroende på hur begreppet anskaffning av tjänst tolkas. Det bör därför införas ett undantag från kravet på säkerhetsskyddsavtal i sådana fall.

Skälen för riksdagsstyrelsens förslag

Den utvidgade skyldigheten att ingå säkerhetsskyddsavtal som riksdagsstyrelsen föreslår innebär att säkerhetsskyddsavtal kommer att behöva ingås i betydligt fler situationer än vad som är fallet nu. I likhet med vad utredningen föreslår bör det dock enligt riksdagsstyrelsens mening finnas möjlighet att i vissa fall göra undantag från kravet.

När det gäller samverkan och samarbeten som sker mellan riksdagens myndigheter samt mellan en sådan myndighet och en myndighet under regeringen bör kravet på säkerhetsskyddsavtal bara gälla anskaffning av en vara, tjänst eller byggentreprenad. Visserligen kan det även vid samverkan eller samarbeten av annat slag hända att säkerhetsskyddsklassificerade uppgifter eller säkerhetskänslig verksamhet exponeras. På samma sätt som anförs i förarbetena

9 NYA BESTÄMMELSER INFÖRS OM SÄKERHETSSKYDDSAVTAL

2021/22:RS5

till motsvarande bestämmelse i säkerhetsskyddslagen ingår dock statliga myndigheter i den juridiska personen staten och företräder därmed samma övergripande statliga intresse. Skyldigheten att samverka följer också många gånger av författning. Eftersom myndigheterna omfattas av regleringen i offentlighets- och sekretesslagen kommer uppgifterna ofta att ha samma sekretesskydd hos båda parter. Myndigheter är som regel också vana vid att hantera sekretessbelagd information och har rutiner för det. Dessutom omfattas statliga myndigheter i större utsträckning än enskilda aktörer av säkerhetsskyddslagen med följd att det finns säkerhetsskydd hos båda parter. Detta sammantaget gör att riksdagsstyrelsen anser att de säkerhetsskyddsklassificerade uppgifterna eller den säkerhetskänsliga verksamheten redan utan krav på säkerhetsskyddsavtal ändå har ett fullgott skydd. I de fall det däremot handlar om sådana situationer som Riksbanken uppmärksammat – dvs. avtal och samarbeten med utländska myndigheter, internationella organisationer och EU-institutioner – anser dock riksdagsstyrelsen att frågan inte kan besvaras här utan att det får bli en uppgift för en eventuell fortsatt analys.

Ledning vid tolkning av begreppet anskaffning bör kunna hämtas i upphandlingslagstiftningen. Enligt förarbetena till 1 kap. 2 § LOU avser uttrycket att någon genom oneröst fång, dvs. ett ömsesidigt förpliktande avtal, får tillgång till varor, tjänster eller byggentreprenader. Typfall är köp, hyra och leasing.37

Ytterligare en typ av situation som bör undantas är när Riksdagsförvaltningen inom ramen för 1 § andra stycket 1 lagen med instruktion för Riksdagsförvaltningen tillhandahåller resurser och service för talmannens, kammarens, utskottens och övriga riksdagsorgans verksamhet samt för riksdagsledamöterna och partikanslierna. Med riksdagsorgan avses i sammanhanget bl.a. riksdagens myndigheter.38 Exempel på en sådan situation är när Riksdagsförvaltningen tillhandahåller vissa tjänster. I sådana fall betalar motparten viss ersättning till Riksdagsförvaltningen, varför det svårligen kan sägas handla om samverkan eller samarbete.

Som utredningen påpekar kan det finnas även andra situationer än de som täcks in av de båda undantagen ovan där det inte framstår som rimligt eller nödvändigt med ett krav på säkerhetsskyddsavtal. Som exempel kan nämnas ett samarbete som en myndighet bedriver i enlighet med författning och som förutsätter ett utbyte av säkerhetsskyddsklassificerade uppgifter, och där förtroendet mellan parterna bygger på ett ömsesidigt intresse av att säkerheten för uppgifterna upprätthålls. En annan situation där riksdagsstyrelsen anser att det inte bör finnas ett absolut krav på ett sådant avtal är om den konstitutionella självständigheten för någon aktör riskerar påverkas eller ifrågasättas. För att ta höjd för de nämnda situationerna bör det därför finnas en möjlighet för respektive riksdagsmyndighet att i enskilda fall besluta om undantag från skyldigheten att ingå säkerhetsskyddsavtal. Undantaget bör dock bara få användas

37Prop. 2015/16:195 s. 932.

38Se betänkandet En ny instruktion för riksdagsförvaltningen (framst. 2010/11:RS3) s. 23.

2021/22:RS5	9 NYA BESTÄMMELSER INFÖRS OM SÄKERHETSSKYDDSAVTAL
	om det finns särskilda skäl, t.ex. de som nyss har nämnts. Vad som i övrigt
	kan utgöra särskilda skäl får utvecklas genom praxis.
	FRA har framfört önskemål om att det införs ett undantag från kravet på
	säkerhetsskyddsavtal som omfattar det stöd som FRA lämnar enligt 4 § för-
	ordningen med instruktion till Försvarets radioanstalt. Av 6 kap. 1 § 4 säker-
	hetsskyddsförordningen framgår att, förutsatt att säkerhetsskyddet ändå kan
	tillgodoses, skyldigheten att ingå säkerhetsskyddsavtal enligt 4 kap. 1 § säker-
	hetsskyddslagen inte gäller avtal, samverkan eller samarbete inom militär sä-
	kerhetstjänst, försvarsunderrättelseverksamhet eller säkerhetsunderrättelse-
	verksamhet samt Försvarsmaktens eller Försvarets radioanstalts avtal, samver-
	kan eller samarbete inom cyberförsvar. Riksdagsstyrelsen kan dock inte se att
	det finns skäl för att, såsom FRA önskar, göra ett uttryckligt undantag för så-
	dana situationer. De får i stället vid behov hanteras inom ramen för myndig-
	heternas möjlighet att vid särskilda skäl i enskilda fall besluta om undantag
	från skyldigheten att ingå säkerhetsskyddsavtal. Därvid kan ledning tas av re-
	gleringen i 6 kap. 1 § 4 säkerhetsskyddsförordningen.
	Riksdagsstyrelsen vill betona att frånvaron av ett krav på säkerhetsskydds-
	avtal inte innebär att myndigheterna kan bortse från säkerhetsskyddet. Detta
	får i stället tillgodoses på andra sätt som t.ex. genom någon annan form av
	säkerhetsskyddsöverenskommelse.

9.3 Kopplingen mellan säkerhetsskyddsavtal och säkerhetsprövning förtydligas

Riksdagsstyrelsens förslag: Det ska förtydligas att bestämmelserna om säkerhetsprövning i säkerhetsskyddslagstiftningen tillämpas vid säkerhetsprövning enligt ett säkerhetsskyddsavtal.

Utredningens förslag

Förslaget överensstämmer med riksdagsstyrelsens.

Remissinstanserna

Remissinstanserna tillstyrker förslaget, har inget att invända eller avstår från att lämna synpunkter. Riksbanken önskar ett klargörande av om kravet på säkerhetsprövning gäller för avtal och samarbeten med utländska myndigheter, internationella organisationer och EU-institutioner.

Skälen för riksdagsstyrelsens förslag

I 3 kap. säkerhetsskyddslagen finns bestämmelser om krav på att verksamhetsutövare måste säkerhetspröva vissa personer innan de genom anställning eller på annat sätt får delta i den säkerhetskänsliga verksamheten. Dessa

9 NYA BESTÄMMELSER INFÖRS OM SÄKERHETSSKYDDSAVTAL

2021/22:RS5

bestämmelser gäller även för riksdagen och dess myndigheter, se 1 kap. 3 § första stycket säkerhetsskyddslagen och 10 § lagen om säkerhetsskydd i riksdagen och dess myndigheter.

I förarbetena till säkerhetsskyddslagen anges att säkerhetsprövning enligt 3 kap. säkerhetsskyddslagen gäller vid säkerhetsprövning enligt ett säkerhetsskyddsavtal. Vidare framgår att ett säkerhetsskyddsavtal är grund för beslut om placering i säkerhetsklass. Riksdagsstyrelsen delar utredningens bedömning att det av säkerhetsskyddslagen dock inte tydligt framgår att ett säkerhetsskyddsavtal kan utgöra grund för krav på säkerhetsprövning för anställning och annat deltagande i motpartens verksamhet, eller att det kan utgöra grund för beslut om placering i säkerhetsklass, registerkontroll och särskild personutredning. Denna koppling mellan säkerhetsskyddsavtal och säkerhetsprövning bör därför klargöras i lagen om säkerhetsskydd i riksdagen och dess myndigheter.

Vad gäller Riksbankens fråga om kravet på säkerhetsprövning vid avtal och samarbeten med utländska myndigheter, internationella organisationer och EU-institutioner är utgångspunkten att om det krävs ett säkerhetsskyddsavtal så ska det göras en säkerhetsprövning. Riksdagsstyrelsen förstår att den tidsutdräkt som Riksbanken beskriver för de processer som i dag används för säkerhetsprövning av utländsk personal kan vara ett problem. Riksdagsstyrelsen saknar dock beredningsunderlag för att ta ställning till en möjlighet att godkänna den aktuella internationella myndighetens egen befintliga säkerhetsprövning.

2021/22:RS5

9 NYA BESTÄMMELSER INFÖRS OM SÄKERHETSSKYDDSAVTAL

9.4Tydligare krav på uppföljning av och innehåll för säkerhetsskyddsavtal införs

Riksdagsstyrelsens förslag: Ett säkerhetsskyddsavtal ska innehålla de krav på motparten som behövs för att kraven på säkerhetsskydd ska kunna tillgodoses. Dessutom ska det införas krav på att i säkerhetsskyddsavtal reglera hur myndigheterna ska få kontrollera att motparten följer säkerhetsskyddsavtalet och att myndigheterna har rätt att revidera avtalet om det krävs på grund av ändrade förhållanden.

Vidare ska det införas ett krav på att myndigheterna ska kontrollera att motparten följer säkerhetsskyddsavtalet och att de ska revidera ett säkerhetsskyddsavtal om det krävs på grund av ändrade förhållanden. Det ska även införas ett tydligare krav på att myndigheterna vidtar de åtgärder som behövs för att tillgodose kraven på säkerhetsskydd om motparten i ett säkerhetsskyddsavtal bryter mot avtalet.

Utredningens förslag

Förslagen överensstämmer med riksdagsstyrelsens.

Remissinstanserna

Remissinstanserna tillstyrker förslagen, har inget att invända eller avstår från att lämna synpunkter.

Skälen för riksdagsstyrelsens förslag

För att säkerhetskänslig verksamhet ska få ett väl anpassat säkerhetsskydd även i utkontrakterad verksamhet och vid andra liknande förhållanden måste, enligt riksdagsstyrelsen, de säkerhetsskyddsavtal som ingås innehålla vilka krav på motparten som behövs för att kraven på säkerhetsskydd enligt 3 § lagen om säkerhetsskydd i riksdagen och dess myndigheter ska kunna tillgodoses. Det är också viktigt med en löpande uppföljning av att säkerhetsskyddet följs av motparten. Myndigheterna måste i det sammanhanget ha en möjlighet att kontrollera att avtalet följs. Vidare är det viktigt att det finns både en skyldighet och en möjlighet för myndigheterna att revidera säkerhetsskyddsavtalet i de fall det krävs på grund av ändrade förhållanden. Exempelvis kan ändrade förhållanden i omvärlden göra att det finns anledning att ställa andra krav på säkerhetsskyddsåtgärder än vad som följer av det ursprungliga säkerhetsskyddsavtalet. Det kan också vara så att uppgifter med en högre säkerhetsskyddsklass har tillkommit i verksamheten eller att det med tiden har ackumulerats en sådan mängd säkerhetsskyddsklassificerade uppgifter hos motparten att det måste ställas högre krav på säkerhetsskydd. Vidare kan det förekomma

9 NYA BESTÄMMELSER INFÖRS OM SÄKERHETSSKYDDSAVTAL

2021/22:RS5

att förhållandena ändrats på så sätt att det finns anledning att sänka kraven på säkerhetsskydd.

Eftersom det är myndigheten som en gång har gett motparten tillgång till säkerhetsskyddsklassificerade uppgifter eller annan säkerhetskänslig verksamhet anser riksdagsstyrelsen att det också bör vara upp till myndigheten att, om motparten inte följer säkerhetsskyddsavtalet, se till att vidta de åtgärder som behövs för att kraven på säkerhetsskydd ska kunna tillgodoses. I vissa fall kan det kanske räcka med att myndigheten påpekar bristerna och begär att motparten åtgärdar dessa, medan andra fall kan kräva att myndigheten avbryter det förfarande som ger motparten tillgång till den säkerhetskänsliga verksamheten.

I 12 § andra stycket lagen om säkerhetsskydd i riksdagen och dess myndigheter anges endast att myndigheten ska kontrollera att leverantören följer säkerhetsskyddsavtalet. Riksdagsstyrelsen delar därför utredningens bedömning att den nämnda lagen bör kompletteras med bestämmelser som innehåller de skyldigheter och möjligheter för riksdagens myndigheter som nyss har anförts. Det är också viktigt att riksdagens myndigheter ser till att i sina avtal med respektive motpart ha tydligt reglerat att myndigheterna har en möjlighet att ingripa och vidta åtgärder om så behövs. De befogenheter som myndigheterna behöver tillförsäkra sig i avtalet för att kunna genomföra en fullgod kontroll kan variera bl.a. beroende på karaktären av det avtal, samarbete eller den samverkansform det är fråga om. Det kan i vissa fall vara tillräckligt att reglera hur myndigheten ska kunna kontrollera att motparten har genomfört en fullgod säkerhetsprövning av den personal som ska delta i den säkerhetskänsliga verksamheten. I andra fall kan det vara nödvändigt att reglera att myndigheten ska ges tillträde till motpartens lokaler eller åtkomst till motpartens informationssystem i syfte att kontrollera att krav om fysisk säkerhet eller informationssäkerhet är uppfyllda på ett tillfredsställande sätt.

2021/22:RS5

9 NYA BESTÄMMELSER INFÖRS OM SÄKERHETSSKYDDSAVTAL

9.5Ytterligare åtgärder för att skydda säkerhetskänslig verksamhet som exponeras för utomstående

Riksdagsstyrelsens förslag: Det ska finnas ett krav på att en myndighet, innan den inleder ett förfarande som kräver säkerhetsskyddsavtal, genom en särskild säkerhetsskyddsbedömning ska identifiera vilka säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som den andra aktören kan få tillgång till och som kräver säkerhetsskydd.

Med utgångspunkt i den särskilda säkerhetsskyddsbedömningen och övriga omständigheter ska myndigheten göra en lämplighetsprövning av det planerade förfarandet. Den särskilda säkerhetsskyddsbedömningen och lämplighetsprövningen ska dokumenteras.

Om lämplighetsprövningen leder till bedömningen att förfarandet är olämpligt från säkerhetsskyddssynpunkt ska förfarandet inte få inledas.

Leder lämplighetsprövningen i stället till bedömningen att det planerade förfarandet inte är olämpligt från säkerhetsskyddssynpunkt ska myndigheten i vissa angivna fall vara skyldig att samråda med Säkerhetspolisen innan den inleder förfarandet.

Utredningens förslag

Förslagen överensstämmer med riksdagsstyrelsens.

Remissinstanserna

Remissinstanserna tillstyrker förslagen, har inget att invända eller avstår från att lämna synpunkter.

Skälen för riksdagsstyrelsens förslag

Det bör finnas ett krav på särskild säkerhetsskyddsbedömning och egen lämplighetsprövning

För de myndigheter som lyder under regeringen finns det i 4 kap. 7 § säkerhetsskyddslagen ett krav på att de, när de avser att genomföra ett förfarande som innebär krav på säkerhetsskyddsavtal enligt 1 § första stycket säkerhetsskyddslagen (säkerhetsskyddsavtal med underleverantörer undantas alltså), ska göra en särskild säkerhetsskyddsbedömning och lämplighetsprövning. Riksdagsstyrelsen delar utredningens bedömning att det även i lagen om säkerhetsskydd i riksdagen och dess myndigheter bör införas ett krav på särskild säkerhetsskyddsbedömning i motsvarande situation. En myndighet bör alltså vara tvungen att göra en särskild säkerhetsskyddsbedömning innan denne inleder en upphandling, ingår ett avtal eller påbörjar en samverkan eller ett

9 NYA BESTÄMMELSER INFÖRS OM SÄKERHETSSKYDDSAVTAL

2021/22:RS5

samarbete som innebär att den andra aktören kan få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre. Samma skyldighet bör också gälla om den andra aktören genom förfarandet kan få tillgång till annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Detta innebär motsatsvis att om förfarandet inte uppfyller dessa kriterier och således inte heller medför krav på säkerhetsskyddsavtal, eller om det omfattas av ett undantag från kravet på säkerhetsskyddsavtal, så gäller inte någon skyldighet att göra en särskild säkerhetsskyddsbedömning, lämplighetsprövning eller samråd. Att det inte finns en skyldighet hindrar dock givetvis inte att myndigheten ändå gör detta.

Vidare innebär kravet att skyldigheten att göra en särskild säkerhetsbedömning inte gäller inför säkerhetsskyddsavtal med underleverantörer. I likhet med var regeringen anför i förarbetena till motsvarande bestämmelse i säkerhetsskyddslagen kan riksdagsstyrelsen konstatera att konsekvenserna av en sådan skyldighet inte är utredda. Även om skyldigheten att göra en särskild säkerhetsskyddsbedömning inte specifikt kommer att gälla inför säkerhetsskyddsavtal med en underleverantör, behöver en verksamhetsutövare dock inom ramen för den särskilda säkerhetsskyddsbedömningen avseende huvudleverantören beakta i vilken mån underleverantörer kommer eller kan antas komma att anlitas, vilka åtgärder som bör vidtas på grund av detta och vilken inverkan som detta får på lämpligheten i förfarandet. Vidare måste en verksamhetsutövare inför ett eventuellt säkerhetsskyddsavtal med en underleverantör identifiera vilka skyddsvärden som underleverantören kan få tillgång till och som kräver säkerhetsskydd. Denna analys behöver göras för att avgöra om ett säkerhetsskyddsavtal ska tecknas med underleverantören, hur det i så fall ska utformas och om det är lämpligt att underleverantören anlitas.39

För att ytterligare betona vikten av att det görs en bedömning av om det planerade förfarandet är lämpligt ur säkerhetsskyddssynpunkt anser riksdagsstyrelsen vidare att det i lagen om säkerhetsskydd i riksdagen och dess myndigheter bör införas ett uttryckligt krav på att den särskilda säkerhetsskyddsbedömningen ska följas av en prövning av om det planerade förfarandet är lämpligt ur säkerhetsskyddssynpunkt. En sådan prövning bör ta sin utgångspunkt i den särskilda säkerhetsskyddsbedömningen och syfta till att klarlägga om det aktuella förfarandet kan leda till skadekonsekvenser på nationell nivå. Myndigheten bör då bl.a. beakta behovet av säkerhetsskydd och om det är möjligt att genom ett säkerhetsskyddsavtal uppnå ett tillräckligt säkerhetsskydd. Det kan finnas förfaranden som inte är lämpliga oavsett vilka säkerhetsskyddsåtgärder som vidtas, t.ex. på grund av att de involverar uppgifter som är så känsliga att de aldrig bör anförtros utomstående. Ett förfarande kan också vara olämpligt för att motparten finns i ett land där det saknas möjligheter till en ändamålsenlig säkerhetsprövning av motpartens personal och av personalen hos eventuella underleverantörer. Vidare kan svårigheter att bedöma om motparten har illojala syften med förfarandet, t.ex. mot bakgrund av

39Jämför prop. 2020/21:194 s. 50.

2021/22:RS5	9 NYA BESTÄMMELSER INFÖRS OM SÄKERHETSSKYDDSAVTAL
	ägarförhållandena hos motparten, medföra att förfarandet är olämpligt. Både
	den särskilda säkerhetsskyddsbedömningen och lämplighetsprövningen bör
	avse samtliga moment i det planerade förfarandet. Om lämplighetsprövningen
	leder fram till bedömningen att förfarandet inte är lämpligt, får det inte inledas.
	Det bör framgå uttryckligen av regleringen.
	Det bör också finnas ett krav på samråd med Säkerhetspolisen
	Vad riksdagsstyrelsen kan förstå rådgör flera av riksdagens myndigheter, inom
	ramen för Säkerhetspolisens rådgivningsskyldighet enligt 8 kap. 11 § första
	stycket säkerhetsskyddsförordningen, ofta med Säkerhetspolisen när det gäller
	upphandlingar som kräver säkerhetsskyddsavtal. Med tanke på säkerhets-
	skyddsfrågornas komplexitet är det dock, som utredningen påpekar, inte
	otänkbart att det skulle kunna finnas situationer där myndigheterna anser att
	det inte finns ett behov av att rådgöra med Säkerhetspolisen men där Säker-
	hetspolisen, om den känt till situationen, däremot skulle bedöma att ett sådant
	behov faktiskt finns. Riksdagsstyrelsen anser därför att det i lagen om säker-
	hetsskydd i riksdagen och dess myndigheter bör anges ett krav på att riksda-
	gens myndigheter, efter genomförd särskild säkerhetsskyddsbedömning och
	lämplighetsprövning, innan de inleder ett förfarande ska samråda med Säker-
	hetspolisen. Samrådsskyldigheten bör gälla i två situationer, givet att det är
	fråga om ett förfarande som omfattar krav på säkerhetsskyddsavtal – dels så-
	dana fall där den andra aktören kan få tillgång till säkerhetsskyddsklassifice-
	rade uppgifter i säkerhetsskyddsklassen hemlig eller högre, dels om förfaran-
	det kan ge den andra aktören tillgång till annan säkerhetskänslig verksamhet
	av motsvarande betydelse för Sveriges säkerhet. Det sistnämnda innebär att
	tillgången till verksamheten måste kunna medföra allvarlig skada för Sveriges
	säkerhet. Ett exempel är en situation då den andra aktören kan få tillgång till
	ett informationssystem och åtkomst till systemet kan medföra allvarlig skada
	för Sveriges säkerhet, t.ex. genom att systemet görs otillgängligt eller skadas.
	Ett annat exempel är situationer då en annan aktör ska utföra arbete vid en
	säkerhetskänslig verksamhet eller hyra en lokal i ett område där det bedrivs
	säkerhetskänslig verksamhet och då kan få tillgång till en säkerhetskänslig an-
	läggning, byggnad eller utrustning.
	Kravet på samråd innebär alltså att en extern aktör i form av en myndighet
	under regeringen blir inblandad i riksdagens myndigheters förehavanden.
	Riksdagsstyrelsen tror att myndigheterna till stor del kommer att följa det som
	Säkerhetspolisen säger vid samrådet, men det kan finnas situationer där det
	finns skäl att göra avsteg. Samrådet är också just ett samråd och det är upp till
	respektive myndighet att avgöra hur den vill agera utifrån samrådet. Det bör
	också vara upp till respektive myndighet att, i dialog med Säkerhetspolisen,
	utforma rutiner eller liknande för samrådet. Det, i kombination med att Säker-
	hetspolisen inte bör ha några befogenheter att på egen hand inleda samråd eller
	att vidta några åtgärder med anledning av samrådet, gör att riksdagsstyrelsen
	inte ser några konstitutionella problem med samrådsskyldigheten.

2021/22:RS5

10 Ansvarsfördelningen vid säkerhetsprövningen av partikanslianställda ska regleras i lag

Riksdagsstyrelsens bedömning: Den nuvarande ansvarsfördelningen mellan partikanslierna och riksdagen, den senare genom Riksdagsförvaltningen, när det gäller säkerhetsprövning av anställda vid partikanslierna bör bestå.

Riksdagsstyrelsens förslag: Det ska göras ett tillägg i 3 kap. säkerhetsskyddslagen där det framgår att den slutliga bedömningen enligt 3 kap. 4 § säkerhetsskyddslagen görs av Riksdagsförvaltningen när det gäller anställda vid sådana kanslier som avses i 3 kap. 6 § lagen om stöd till partigrupperna för riksdagsledamöternas arbete i riksdagen och som har placerats i säkerhetsklass för deltagande i riksdagens eller Riksdagsförvaltningens verksamhet.

Utredningens förslag

Förslaget överensstämmer med riksdagsstyrelsens.

Remissinstanserna

Remissinstanserna tillstyrker förslaget, har inget att invända eller avstår från att lämna synpunkter. Integritetsskyddsmyndigheten vill framhålla att det ur integritetsperspektiv är viktigt att partikanslierna och Riksdagsförvaltningen följer principen om uppgiftsminimering när de delar information inom ramen för en säkerhetsprövning samt säkerställer att uppgifter som överförs omfattas av en lämplig säkerhet vid överföringen. Säkerhetspolisen anför att den inte har någon annan uppfattning än utredningen när det gäller förslaget att i lag reglera ansvaret för bedömningen vid säkerhetsprövning av anställda vid partikanslierna som har placerats i säkerhetsklass. Dock finns det, mot bakgrund av genomförda och föreslagna författningsändringar, skäl att se över den befintliga överenskommelsen. I det sammanhanget framstår det även som lämpligt att se över ansvarsförhållandena vad avser personer som deltar i riksdagens säkerhetskänsliga verksamhet vid partikanslierna utan att vara anställda.

Skälen för riksdagsstyrelsens förslag

Den nuvarande ansvarsfördelningen verkar fungera bra

Sedan lång tid tillbaka har alla partier som är representerade i riksdagen haft särskilda kanslier, i det följande kallade kanslier eller partikanslier, med

2021/22:RS5	10 ANSVARSFÖRDELNINGEN VID SÄKERHETSPRÖVNINGEN AV PARTIKANSLIANSTÄLLDA SKA
	REGLERAS I LAG
	anställd personal till hjälp åt sina riksdagsgrupper. Partikanslierna ger stöd till
	såväl enskilda riksdagsledamöter som till riksdagsgruppen i dess helhet. Det
	kan handla om stöd i t.ex. sakfrågor, kontakt med allmänheten och medierna
	samt administrativt stöd. Personalen är anställd av partiet eller partikansliet för
	att arbeta i partikansliet och är helt fristående från riksdagen som sådan och
	Riksdagsförvaltningen. Inte desto mindre kan partikanslianställda, när de hjäl-
	per riksdagsledamöterna i deras värv, komma att delta i riksdagens säkerhets-
	känsliga verksamhet. Möjligen kan de partikanslianställda, beroende på vad
	som sägs i Riksdagsförvaltningens säkerhetsskyddsanalys, även komma att
	delta i Riksdagsförvaltningens säkerhetskänsliga verksamhet.
	Efter ett beslut av riksdagsstyrelsen i maj 2012 utredde riksdagsdirektören
	i samverkan med partikanslierna vilka förutsättningar, möjligheter och be-
	gränsningar som fanns för att genomföra säkerhetsprövning av partikanslian-
	ställda. Utredningen blev klar våren 2014. I dokumentet ”Information om ut-
	redning om säkerhetsprövning” sammanfattades utredningen på följande sätt:
	Behovet av säkerhetsprövning av partikanslianställda är beroende av om
	partikanslianställda kan anses delta i verksamhet som har betydelse för ri-
	kets säkerhet eller som är viktig för skyddet mot terrorism. Utredningen
	har kommit fram till att partikanslianställda tillhör den kategori som kan
	anses delta i verksamhet som har betydelse för rikets säkerhet eller som är
	viktig för skyddet mot terrorism. Enligt 11 § säkerhetsskyddslagen
	(1996:627) har Riksdagsförvaltningen då en skyldighet att vidta skyddsåt-
	gärden säkerhetsprövning för partikanslianställda. Riksdagsförvaltningen
	avser att i samverkan med partikanslierna upprätta överenskommelser där
	ansvarsfördelningen mellan parterna regleras.40
	Med utgångspunkt i utredningens slutsatser utarbetades en överenskommelse
	om säkerhetsprövning och säkerhetsskydd. Respektive partikansli har sedan
	träffat en sådan överenskommelse med Riksdagsförvaltningens säkerhetschef.
	I den överenskommelsen delas ansvaret för säkerhetsprövningen upp så att
	partikansliet ska genomföra den del av säkerhetsprövningen som är grundad
	på personlig kännedom om den som prövningen gäller samt som är grundad
	på uppgifter som framgår av betyg, intyg och referenser, dvs. det som i den
	gällande säkerhetsskyddslagen kallas för grundutredning. Partikansliet ansva-
	rar också för att besluta om en säkerhetsprövad (men inte registerkontrollerad)
	person ska godkännas. Riksdagsförvaltningen å sin sida ansvarar för att be-
	sluta om placering i säkerhetsklass och i ett sådant fall begära registerkontroll
	hos Säkerhetspolisen. Riksdagsförvaltningen ska också självständigt avgöra
	om en registerkontrollerad person ska få anlitas. Enligt vad riksdagsstyrelsen
	kan erfara är partikanslierna nöjda med ordningen i fråga. Så långt finns det
	därför, enligt riksdagsstyrelsens mening, inte någon anledning att ersätta över-
	enskommelsen med reglering i lag. Snarare kan det, som utredningen påpekar,
	vara mer praktiskt att ha en reglering i en överenskommelse i stället för i en
	40 Se Information om utredning om säkerhetsprövning, daterad den 4 juni 2014, dnr 280-
	2098-2011/12.

10 ANSVARSFÖRDELNINGEN VID SÄKERHETSPRÖVNINGEN AV PARTIKANSLIANSTÄLLDA SKA	2021/22:RS5
REGLERAS I LAG

lag eftersom den senare är mer komplicerad att ändra. Dock kan det finnas andra skäl som gör att en reglering i enbart en överenskommelse inte är möjlig.

Säkerhetsprövning enligt säkerhetsskyddslagen och riksdagsstyrelsens föreskrift (RFS 2019:1) om säkerhet och säkerhetsskydd i riksdagen, Riksdagsförvaltningen och partikanslierna

För att kunna svara på frågan om huruvida säkerhetsprövning och placering i säkerhetsklass av anställda vid partigruppernas kanslier bör regleras i lag eller i en överenskommelse är det relevant vad som sägs i de bestämmelser som finns på området.

Lagen om säkerhetsskydd i riksdagen och dess myndigheter innehåller inte några egna bestämmelser om säkerhetsprövning. I stället hänvisas i lagens 10 § till säkerhetsskyddslagen. Enligt 3 kap. 1 § säkerhetsskyddslagen ska den som genom en anställning eller på något annat sätt ska delta i säkerhetskänslig verksamhet säkerhetsprövas (här bortses från undantagen för bl.a. statsråd och riksdagsledamöter). Säkerhetsprövningen ska enligt 3 kap. 4 § första stycket nämnda lag utgå från uppgifter som kommit fram när grundutredningen gjordes och den kännedom som i övrigt finns om den som ska prövas, uppgifter som har lämnats ut efter registerkontroll och särskild personutredning, arten av den verksamhet som prövningen gäller samt omständigheterna i övrigt. Av andra stycket framgår att bedömningen som huvudregel görs av den som beslutar om anställning eller annat deltagande i den säkerhetskänsliga verksamheten. Enligt tredje stycket gäller detta dock inte när en myndighet har det bestämmande inflytandet över den prövades lämplighet att delta i säkerhetskänslig verksamhet hos en enskild verksamhetsutövare. I ett sådant fall är det i stället myndigheten som gör den slutliga bedömningen. I 3 kap. 4 a § säkerhetsskyddslagen finns det ett undantag som innebär att bedömningen enligt 3 kap. 4 § samma lag rörande ordinarie domare (som utnämns av regeringen) i vissa fall görs av Domarnämnden och i andra fall av respektive domstol. Även 3 kap. 3 b § säkerhetsskyddslagen innehåller ett undantag som innebär att den slutliga bedömningen görs av Transportstyrelsen när det gäller den som ska genomgå säkerhetsprövning till följd av ett internationellt säkerhetsskyddsåtagande på området luftfartsskydd.

En säkerhetsprövning kan innefatta flera delar, se 3 kap. 3 § första stycket säkerhetsskyddslagen. Som minst ska den innefatta en s.k. grundutredning. I 8 kap. 6 § riksdagsstyrelsens föreskrift (RFS 2019:1) om säkerhet och säkerhetsskydd i riksdagen, Riksdagsförvaltningen och partikanslierna sägs att det med grundutredning avses en utredning om personliga förhållanden av betydelse för säkerhetsprövningen. Utredningen ska omfatta betyg, intyg, referenser och uppgifter som den som prövningen gäller har lämnat, samt andra uppgifter i den utsträckning det är relevant för prövningen. Vid behov ska en identitetskontroll göras. Bestämmelsen har samma innehåll som framgår av 5 kap. 2 § säkerhetsskyddsförordningen.

2021/22:RS5	10 ANSVARSFÖRDELNINGEN VID SÄKERHETSPRÖVNINGEN AV PARTIKANSLIANSTÄLLDA SKA
	REGLERAS I LAG
	Utöver själva grundutredningen ska en anställning eller något annat delta-
	gande i vissa fall placeras i någon av säkerhetsklasserna 1–3, vilket kräver
	registerkontroll och ibland även särskild personutredning. Vilken klass en per-
	son ska placeras i styrs som huvudregel av vilken tillgång personen i fråga har
	till säkerhetsskyddsklassificerade uppgifter eller vilka möjligheter personen
	har att till följd av sitt deltagande i verksamheten orsaka skada för Sveriges
	säkerhet, se 3 kap. 6–8 §§ säkerhetsskyddslagen. För placering i den lägsta
	säkerhetsklassen (säkerhetsklass 3) krävs att personen får del av uppgifter i
	säkerhetsskyddsklassen konfidentiell, i ringa omfattning får del av uppgifter i
	säkerhetsskyddsklassen hemlig eller till följd av sitt deltagande i verksamheten
	har en möjlighet att orsaka en inte obetydlig skada för Sveriges säkerhet, se
	3 kap. 8 § säkerhetsskyddslagen.
	I 3 kap. 12 § första stycket säkerhetsskyddslagen sägs att riksdagen och
	dess myndigheter beslutar om placering i säkerhetsklass när det gäller riksda-
	gens förvaltningsområde. Enligt 8 kap. 3 § 1 riksdagsstyrelsens föreskrift (RFS
	2019:1) om säkerhet och säkerhetsskydd i riksdagen, Riksdagsförvaltningen
	och partikanslierna beslutar Riksdagsförvaltningen om placering i säkerhets-
	klass vid anställning eller annat deltagande i riksdagens eller Riksdagsförvalt-
	ningens verksamhet.
	Registerkontroll ska enligt 3 kap. 14 § säkerhetsskyddslagen göras om an-
	ställningen eller deltagandet i verksamheten har placerats i säkerhetsklass.
	Uppgifter ska löpande hämtas under den tid personen deltar i den säkerhets-
	känsliga verksamheten. Kontrollen innebär att vissa uppgifter hämtas, där-
	ibland från ett register som omfattas av lagen om belastningsregister eller la-
	gen om misstankeregister, se 3 kap. 13 § säkerhetsskyddslagen.
	Den som ansöker om registerkontroll ansvarar för att inhämta samtycke
	från den som säkerhetsprövningen gäller, se 3 kap. 18 § säkerhetsskyddslagen
	och 8 kap. 13 § riksdagsstyrelsens föreskrift (RFS 2019:1) om säkerhet och
	säkerhetsskydd i riksdagen, Riksdagsförvaltningen och partikanslierna. Av
	8 kap. 8 § föreskriften framgår att om Riksdagsförvaltningen beslutar om pla-
	cering i säkerhetsklass eller ansöker om registerkontroll hos Säkerhetspolisen
	i fråga om någon som inte ska anlitas i riksdagens eller Riksdagsförvaltningens
	verksamhet, ska Riksdagsförvaltningen samråda med arbetsgivaren om säker-
	hetsprövningsåtgärder. Samrådet ska genomföras löpande under hela den tid
	som personen deltar i den säkerhetskänsliga verksamheten.
	I vissa fall ska det också göras en särskild personutredning, se 3 kap. 17 §
	säkerhetsskyddslagen.

Det krävs en tydligare reglering

Nuvarande överenskommelse har alltså sin grund i en utredning från 2014. Vid den tidpunkten gällde 1996 års säkerhetsskyddslag där det i 20 § angavs följande: ”Riksdagen och dess myndigheter beslutar om placering i säkerhetsklass och om registerkontroll såvitt avser riksdagens förvaltningsområde.” Riksdagsstyrelsen uttalade i sin framställning till riksdagen om 2006 års lag

10 ANSVARSFÖRDELNINGEN VID SÄKERHETSPRÖVNINGEN AV PARTIKANSLIANSTÄLLDA SKA	2021/22:RS5
REGLERAS I LAG
om säkerhetsskydd i riksdagen och dess myndigheter att uttrycket ”riksdagens
förvaltningsområde” måste anses innefatta även partikanslierna.41 Vidare stod
i 27 § 1996 års säkerhetsskyddslag: ”Den som bestämmer om registerkontroll
avgör självständigt om den person som prövas skall få anlitas. Prövningen
skall grundas på den kunskap som finns om den som prövas, de uppgifter som
har kommit fram vid registerkontrollen och vid särskild personutredning, arten
av den verksamhet för vilken prövningen görs samt omständigheterna i öv-
rigt.”
I den nu gällande säkerhetsskyddslagen sägs dock under rubriken ”Ansvar
för säkerhetsprövningen” i 3 kap. 4 § andra stycket att bedömningen görs av
den som beslutar om anställning eller annat deltagande i den säkerhetskänsliga
verksamheten, om inte annat följer av (i den del som är av intresse här) tredje
stycket. Det innebär att det är partikanslierna som har ansvaret för säkerhets-
prövningen, eftersom det är de som beslutar om anställning av partikanslian-
ställda och vilka uppgifter dessa ska ha, och därmed också beslutar om på vil-
ket sätt de eventuellt kan komma att delta i riksdagens och/eller Riksdagsför-
valtningens säkerhetskänsliga verksamhet. Riksdagsstyrelsen delar utredning-
ens bedömning att det, i och med att det handlar om just deltagande i riksda-
gens och/eller Riksdagsförvaltningens säkerhetskänsliga verksamhet, inte går
att använda undantaget i 3 kap. 4 § tredje stycket säkerhetsskyddslagen. För
det krävs att en myndighet har det bestämmande inflytandet över den prövades
lämplighet att delta i säkerhetskänslig verksamhet hos en enskild verksamhets-
utövare. Riksdagsstyrelsen ser inte heller att det bemyndigande som finns i
14 § lagen om säkerhetsskydd i riksdagen och dess myndigheter skulle kunna
användas för att utfärda en föreskrift som avhjälper problemet. Därmed anser
riksdagsstyrelsen, i likhet med utredningen, att det krävs en tydligare reglering
för att den nuvarande ordningen med en uppdelning av ansvaret för säkerhets-
prövningen mellan respektive partikansli och Riksdagsförvaltningen ska
kunna bestå.

Riksdagsförvaltningen bör självständigt göra den slutliga bedömningen i säkerhetsprövningen av registerkontrollerade partikanslianställda

Enligt överenskommelsen mellan Riksdagsförvaltningens säkerhetschef och respektive partikansli ska Riksdagsförvaltningen ansvara för att ”självständigt avgöra om en registerkontrollerad person ska få anlitas.” Det ska dock inte förstås som att Riksdagsförvaltningen kan hindra ett partikansli från att anställa en person. Det Riksdagsförvaltningen kan göra är att neka personen placering i säkerhetsklass. Det innebär förvisso att personen inte kan delta i riksdagens eller Riksdagsförvaltningens säkerhetskänsliga verksamhet, men personen kan ändå anställas för arbete vid partikansliet om partikansliet så vill.

En ordning där det är Riksdagsförvaltningen som självständigt gör den slutliga bedömningen i säkerhetsprövningen i fråga om en registerkontrollerad

41Framst. 2005/06:RS1 s. 29.

2021/22:RS5	10 ANSVARSFÖRDELNINGEN VID SÄKERHETSPRÖVNINGEN AV PARTIKANSLIANSTÄLLDA SKA
	REGLERAS I LAG
	partikanslianställd innebär ett avsteg från huvudregeln i 3 kap. 4 § säkerhets-
	skyddslagen som säger att det ansvaret ligger på den som beslutar om anställ-
	ning eller annat deltagande i den säkerhetskänsliga verksamheten. Det finns
	därför anledning att fundera över ordningen som sådan. I likhet med utred-
	ningen anser riksdagsstyrelsen att den är väl motiverad. Riksdagsförvaltningen
	har ingen beslutanderätt i fråga om vilka personer som ska anställas för arbete
	vid partikanslierna eller vilka arbetsuppgifter dessa ska ha. Inte desto mindre
	deltar de partikanslianställda i riksdagens arbete genom sin uppgift att hjälpa
	och stödja riksdagsledamöterna. Beroende på vilka uppgifter de partikanslian-
	ställda har kan de komma att delta i riksdagens och/eller Riksdagsförvaltning-
	ens säkerhetskänsliga verksamhet och i några fall även få del av säkerhets-
	skyddsklassificerade uppgifter. Redan mot den bakgrunden ter det sig själv-
	klart att Riksdagsförvaltningen även fortsättningsvis självständigt ska få göra
	den slutliga bedömningen vid säkerhetsprövningen av registerkontrollerade
	partikanslianställda.

Säkerhetsskyddsavtal kan inte användas för att reglera ansvarsfördelningen utan det behövs en lagändring

Vid säkerhetsskyddsavtal är det vanligt att det görs en uppdelning av säkerhetsprövningen så att leverantören ansvarar för säkerhetsprövningen men att ett godkännande efter registerkontroll krävs från den upphandlande myndigheten.42 Det yttersta ansvaret ligger alltså hos myndigheten. Enligt förarbetena till säkerhetsskyddslagen är en verksamhetsutövare inte förhindrad att ställa krav på en leverantör att ingå säkerhetsskyddsavtal även om det inte finns någon sådan skyldighet enligt lag. Ett sådant säkerhetsskyddsavtal som tillkommit utan att det finns någon skyldighet enligt säkerhetsskyddslagen brukar kallas för säkerhetsskyddsöverenskommelse. Samtidigt sägs i förarbetena att en enskild aktör som omfattas av lagstiftningen inte genom ett säkerhetsskyddsavtal får åläggas mindre omfattande säkerhetsskyddsåtgärder än de som redan gäller för verksamheten.43 Riksdagsstyrelsen håller med utredningen om att det måste tolkas som att det inte går att avtala bort det som partikansliet är skyldigt att göra enligt 3 kap. 4 § andra stycket säkerhetsskyddslagen, dvs. att partikansliet har ansvaret för säkerhetsprövningen. Riksdagsstyrelsen kan inte heller se att de nya bestämmelser om säkerhetsskyddsavtal i säkerhetsskyddslagen som trädde i kraft den 1 december 2021 eller de nya bestämmelser om säkerhetsskyddsavtal som föreslås i denna framställning innebär någon möjlighet att teckna säkerhetsskyddsavtal i det här fallet.

Då återstår att se hur en lagändring skulle kunna se ut för att uppnå det önskade resultatet. Ansvaret för säkerhetsprövningen regleras som bekant i 3 kap. 4 § säkerhetsskyddslagen. Redan i dag finns det undantag från huvudregeln att ansvaret ligger på den som beslutar om anställning eller annat

42 Se prop. 2017/18:89 s. 145.

43 Se prop. 2017/18:89 s. 105 och 141. För benämningen ”säkerhetsskyddsöverenskommelse”, se Säkerhetspolisens Vägledning i säkerhetsskydd – Säkerhetsskyddad upphandling, utgåva juni 2019, s. 7.

10 ANSVARSFÖRDELNINGEN VID SÄKERHETSPRÖVNINGEN AV PARTIKANSLIANSTÄLLDA SKA	2021/22:RS5
REGLERAS I LAG

deltagande i den säkerhetskänsliga verksamheten. Riksdagsstyrelsen anser att det är lämpligt att, liksom vad gäller säkerhetsprövning av domare, införa undantaget rörande partikanslianställda i en ny bestämmelse i säkerhetsskyddslagen. Bestämmelsen bör tala om att den slutliga bedömningen enligt 3 kap. 4 § säkerhetsskyddslagen görs av Riksdagsförvaltningen när det gäller anställda som arbetar vid partikanslierna och som har placerats i säkerhetsklass för sitt deltagande i riksdagens eller Riksdagsförvaltningens verksamhet. Ge- nom att ange att det är just den slutliga bedömningen som åvilar Riksdagsförvaltningen tydliggörs att en liknande ordning som den i 3 kap. 4 § tredje stycket säkerhetsskyddslagen är tänkt att gälla, dvs. att partikanslierna ansvarar för grundutredningen och utifrån den gör en första bedömning. Om den som grundutredningen avser dessutom ska placeras i säkerhetsklass och därmed måste registerkontrolleras är det Riksdagsförvaltningen som har att ansöka om registerkontroll och slutligen bestämma om den som kontrollen avser ska få anlitas.

Den föreslagna bestämmelsen hindrar inte att det upprättas överenskommelser av det slag som finns i dag för att beskriva det praktiska arbetet kring säkerhetsprövningen. Hur dessa ska utformas behandlas dock inte här. Samma gäller Säkerhetspolisens påpekande att det framstår som lämpligt att göra en översyn av ansvarsförhållandena vad avser personer som i övrigt deltar i riksdagens säkerhetskänsliga verksamhet vid partikanslierna utan att vara anställda.

2021/22:RS5

11 En bestämmelse införs om tystnadsplikt för partikanslianställda när det gäller säkerhetsskyddsklassificerade uppgifter

Riksdagsstyrelsens förslag: Det ska införas en ny bestämmelse i lagen om säkerhetsskydd i riksdagen och dess myndigheter med innebörden att en anställd vid ett sådant kansli som avses i 3 kap. 6 § lagen om stöd till partigrupperna för riksdagsledamöternas arbete i riksdagen inte obehörigen får röja eller utnyttja säkerhetsskyddsklassificerade uppgifter som han eller hon har fått del av vid deltagande i riksdagens eller Riksdagsförvaltningens säkerhetskänsliga verksamhet.

Utredningens förslag

Förslaget överensstämmer med riksdagsstyrelsens.

Remissinstanserna

Remissinstanserna tillstyrker förslaget, har inget att invända eller avstår från att lämna synpunkter. Moderata samlingspartiet (Moderaterna) anför att det vill understryka vikten av att innebörden av förslaget inte är att partikanslianställda ska få ta del av säkerhetsklassade uppgifter i större utsträckning än vad som är fallet i dag. Även fortsättningsvis måste utgångspunkten vara att partikanslianställda inte ska ta del av sådana uppgifter. Moderaterna påpekar också att det inte ges någon närmare definition av vad som avses med ”deltagande i riksdagens eller Riksdagsförvaltningens säkerhetskänsliga verksamhet” och efterlyser en analys av behovet av tystnadsplikt för partikanslianställda även vad gäller säkerhetsklassade uppgifter som denna grupp kan tänkas få del av i tjänsten i andra situationer än när de deltar i riksdagens eller Riksdagsförvaltningens säkerhetskänsliga verksamhet.

Skälen för riksdagsstyrelsens förslag

Partikanslianställda får som huvudregel inte ta del av säkerhetsskyddsklassificerade uppgifter

Med säkerhetsskyddsklassificerade uppgifter avses enligt 2 § tredje stycket lagen om säkerhetsskydd i riksdagen och dess myndigheter uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen eller som skulle ha omfattats av sekretess enligt den lagen, om den hade varit tillämplig.

11 EN BESTÄMMELSE INFÖRS OM TYSTNADSPLIKT FÖR PARTIKANSLIANSTÄLLDA NÄR DET GÄLLER	2021/22:RS5
SÄKERHETSSKYDDSKLASSIFICERADE UPPGIFTER
För riksdagens och Riksdagsförvaltningens del innebär detta att säkerhets-
skyddsklassificerade uppgifter dels ska röra säkerhetskänslig verksamhet, dvs.
verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av
ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd (se 2 §
första stycket lagen om säkerhetsskydd i riksdagen och dess myndigheter),
dels ska omfattas av sekretess enligt offentlighets- och sekretesslagen. Säker-
hetsskyddsklassificerade uppgifter kan därmed sägas beröra något av det allra
känsligaste i riksdagens och Riksdagsförvaltningens verksamhet. Att säker-
hetsskyddsklassificerade (och även andra) uppgifter som lämnas inför utskot-
ten av t.ex. myndigheter stannar hos utskottsledamöterna är också en förtroen-
defråga. Det kan finnas en risk för att myndigheter, om det finns en farhåga att
uppgifter sprids vidare från utskotten, inte längre vill dela med sig av informa-
tion i samma utsträckning som de gör i dag. Utgångspunkten måste därför, som
utredningen och Moderaterna påpekar, alltid vara att partikanslianställda inte
får ta del av sådana uppgifter.
Riksdagsstyrelsen är övertygad om att det i riksdagens och Riksdagsför-
valtningens dagliga verksamhet hålls hårt på att partikanslianställda inte ska
få ta del av säkerhetsskyddsklassificerade uppgifter. Samtidigt är en av huvud-
uppgifterna för de partikanslianställda att de ska biträda riksdagsledamöterna
i deras arbete. I likhet med vad utredningen anför ser riksdagsstyrelsen det
därför som ofrånkomligt att säkerhetsskyddsklassificerade uppgifter i enstaka
fall kommer partikanslianställda till del, just för att dessa anställda ska kunna
vara riksdagsledamöterna behjälpliga på det sätt som krävs. Konstitutionsut-
skottet har i betänkandet Tystnadsplikt i riksdagen (bet. 2017/18:KU7), och
numera även i betänkandet 2019 års riksdagsöversyn (bet. 2021/22:KU3),
framför att det aldrig kan bli aktuellt att låta anställda i partikanslierna, t.ex.
politiska sekreterare, ta del av uppgifter som omfattas av tystnadsplikt ef-
tersom dessa inte omfattas av bestämmelserna i offentlighets- och sekretessla-
gen.44 Som kommer att framgå nedan föreslår riksdagsstyrelsen att det i lagen
om säkerhetsskydd i riksdagen och dess myndigheter förs in en bestämmelse
om tystnadsplikt för partikanslianställda som har fått del av säkerhetsskydds-
klassificerade uppgifter vid deltagande i riksdagens eller Riksdagsförvaltning-
ens säkerhetskänsliga verksamhet. Konstitutionsutskottets uttalanden lägger
därmed inte något absolut hinder i vägen för partikanslianställda att få del av
sådana uppgifter. Riksdagsstyrelsen vill dock betona att partikanslianställda
bara kan få ta del av säkerhetsskyddsklassificerade uppgifter i de fall där det
finns ett behov. Ett sådant behov kan sägas finnas i ett ytterst litet antal fall,
t.ex. säkerhetsskyddsklassificerade uppgifter som rör Riksdagsförvaltningens
planering för totalförsvar.45 Att det måste finnas ett behov återspeglas också i

44Bet. 2017/18:KU7 s. 20 och bet. 2021/22:KU3 s. 22.

45Se även vad som sägs i framställningen 2019 års riksdagsöversyn (framst. 2020/21:RS5) om partikanslianställdas möjligheter att ta del av uppgifter som omfattas av tystnadsplikt. Där anges på s. 41 f. följande: ”Om behov skulle uppstå av information till t.ex. partiernas kanslichefer om krigsdelegationens förberedande verksamhet är det alltså möjligt för krigsdelegationen att besluta att lämna ut uppgifter med sekretessförbehåll. Det torde dock inte bli aktuellt annat än i rena undantagsfall.

2021/22:RS5	11 EN BESTÄMMELSE INFÖRS OM TYSTNADSPLIKT FÖR PARTIKANSLIANSTÄLLDA NÄR DET GÄLLER
	SÄKERHETSSKYDDSKLASSIFICERADE UPPGIFTER
	3 kap. 1 § riksdagsstyrelsens föreskrift (RFS 2019:1) om säkerhet och säker-
	hetsskydd i riksdagen, Riksdagsförvaltningen och partikanslierna. Där sägs att
	de enda som är behöriga att ta del av säkerhetsskyddsklassificerade uppgifter
	eller i övrigt delta i säkerhetskänslig verksamhet, om inte något annat följer av
	bestämmelser i lag, är de som har bedömts pålitliga från säkerhetssynpunkt,
	har tillräckliga kunskaper om säkerhetsskydd och behöver uppgifterna eller
	annan tillgång till verksamheten för att kunna utföra sitt arbete eller på annat
	sätt delta i den säkerhetskänsliga verksamheten. Vidare sägs i 3 kap. 2 §
	samma föreskrift att den som tillåts ta del av säkerhetsskyddsklassificerade
	uppgifter ska upplysas om räckvidden och innebörden av den sekretess och
	tystnadsplikt som följer av regeringsformen, riksdagsordningen respektive of-
	fentlighets- och sekretesslagen. Givetvis måste ett utlämnande av uppgifterna
	vara förenligt med bestämmelserna i offentlighets- och sekretesslagen.

De partikanslianställda omfattas inte av bestämmelserna i offentlighets- och sekretesslagen

Mot bakgrund av vad som har sagts i avsnittet ovan är det viktigt att se till att säkerhetsskyddsklassificerade uppgifter som en partikanslianställd har fått del av i sitt arbete med att biträda riksdagsledamöterna har ett skydd och inte får spridas vidare. Innan riksdagsstyrelsen tittar närmare på den tystnadspliktsbestämmelse som finns i 8 kap. 2 § säkerhetsskyddslagen för säkerhetsskyddsklassificerade uppgifter ska något sägas om offentlighets- och sekretesslagen.

Offentlighets- och sekretesslagen innehåller bestämmelser om tystnadsplikt i det allmännas verksamhet och om förbud att lämna ut allmänna handlingar. Med begreppet sekretess avses enligt 3 kap. 1 § OSL ett förbud att röja en uppgift, vare sig det sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt. Sekretess innebär alltså inte bara sekretess för uppgifter i allmänna handlingar utan också tystnadsplikt. Bestämmelserna i offentlighets- och sekretesslagen innebär begränsningar i yttrandefriheten enligt regeringsformen, begränsningar i den rätt att ta del av en allmän handling som följer av tryckfrihetsförordningen samt, i vissa särskilt angivna fall, även begränsningar i den rätt att meddela och offentliggöra uppgifter som följer av tryckfrihetsförordningen och yttrandefrihetsgrundlagen.

Av 2 kap. 1 § OSL följer att förbud att röja eller utnyttja en uppgift enligt offentlighets- och sekretesslagen eller enligt lag eller förordning som offentlighets- och sekretesslagen hänvisar till gäller för myndigheter. Ett sådant förbud gäller också för en person som fått kännedom om uppgiften genom att för det allmännas räkning delta i en myndighets verksamhet på grund av anställning eller uppdrag hos myndigheten, på grund av tjänsteplikt eller på annan liknande grund. Med begreppet myndighet avses organ som ingår i den offentligrättsliga statliga och kommunala organisationen, inklusive regeringen och domstolarna. Enligt 2 kap. 2 § OSL ska bl.a. riksdagen vid tillämpningen av offentlighets- och sekretesslagen jämställas med myndigheter. En person som omfattas av förbudet i 2 kap. 1 § OSL är skyldig att iaktta sekretess även efter

11 EN BESTÄMMELSE INFÖRS OM TYSTNADSPLIKT FÖR PARTIKANSLIANSTÄLLDA NÄR DET GÄLLER	2021/22:RS5
SÄKERHETSSKYDDSKLASSIFICERADE UPPGIFTER
det att han eller hon har lämnat sin befattning. Det gäller oavsett om personen
avgår med pension eller övergår till annan allmän eller enskild tjänst.46
De som arbetar i partikanslierna är anställda antingen direkt av ett parti-
kansli eller av ett parti för att arbeta i ett visst partikansli. I båda fallen är per-
sonalen helt fristående från Riksdagsförvaltningen. De kan därmed inte sägas
för det allmännas räkning delta i en myndighets verksamhet på grund av an-
ställning eller uppdrag hos myndigheten, på grund av tjänsteplikt eller på an-
nan liknande grund, se bestämmelse om det i 2 kap. 1 § andra stycket OSL.
Av det följer att de inte heller omfattas av tystnadsplikten enligt offentlighets-
och sekretesslagen. För den fortsatta redogörelsen kan det dock ändå vara av
intresse att se vilket skydd offentlighets- och sekretesslagen ger i de fall lagen
faktiskt är tillämplig samt vilket skydd uppgifter som har kommit riksdagsle-
damöter till del har.

Särskilda bestämmelser i offentlighets- och sekretesslagen om sekretess vid sammanträde med riksdagens kammare, beslut och protokoll

I 41 kap. 1 § OSL finns bestämmelser om vad som gäller för sekretess vid sammanträde med riksdagens kammare, beslut och protokoll. För uppgift om vad som har förekommit vid sammanträde med riksdagens kammare tillämpas sekretessbestämmelserna i offentlighets- och sekretesslagen endast om sammanträdet har hållits inom stängda dörrar. Det framgår av 41 kap. 1 § första stycket OSL. Föreskrifter om när riksdagens kammare kan sammanträda inom stängda dörrar finns i 6 kap. 7 § RO, se mer om den bestämmelsen i avsnittet nedan.

I 41 kap. 1 § andra stycket OSL sägs att för de uppgifter som förekommit vid ett sammanträde inom stängda dörrar och som har tagits in i kammarens protokoll gäller sekretess enligt offentlighets- och sekretesslagen endast om sekretess för uppgifterna följer av 15 kap. OSL (dvs. rikets säkerhet eller dess förhållande till andra stater eller mellanfolkliga organisationer). I fråga om uppgifter som har tagits in i andra protokoll hos riksdagen än kammarprotokoll eller beslut gäller sekretess endast om sekretess för uppgifterna följer av 15 kap. eller 19 kap. 7 § OSL (dvs. fackliga stridsåtgärder inom den offentliga sektorn). Med beslut förstås betänkanden, yttranden, skrivelser och liknande handlingar från utskott och andra riksdagsorgan.47 Sekretess kan också gälla för yttranden som nedtecknats vid regeringens samråd med EU-nämnden enligt tilläggsbestämmelse 7.15.5 RO i fråga om uppgifter som avses i 16 kap. OSL (dvs. uppgifter som angår rikets centrala finanspolitik, penningpolitik eller valutapolitik).

När det gäller andra uppgifter hos riksdagen än de som nämns ovan gäller sekretessbestämmelserna i offentlighets- och sekretesslagen utan inskränk-

46Se Lenberg m.fl., Offentlighets- och sekretesslagen (1 januari 2021, Version 23, Juno), kommentaren till 2 kap. 1 §.

47Se Lenberg m.fl., Offentlighets- och sekretesslagen (1 januari 2021, Version 23, Juno), kommentaren till 41 kap. 1 §.

2021/22:RS5	11 EN BESTÄMMELSE INFÖRS OM TYSTNADSPLIKT FÖR PARTIKANSLIANSTÄLLDA NÄR DET GÄLLER
	SÄKERHETSSKYDDSKLASSIFICERADE UPPGIFTER
	ning, se dock de särskilda regler för riksdagens ledamöter som det redogörs
	för i avsnittet nedan.
	I 41 kap. 3 och 4 §§ OSL finns bestämmelser om överföring av sekretess.
	Om riksdagen får en sekretessreglerad uppgift från regeringen blir sekretess-
	bestämmelsen tillämplig på uppgiften även hos riksdagen. Det framgår vidare
	att om riksdagen får en sekretessreglerad uppgift från en myndighet för pröv-
	ning av om den ska lämnas ut, blir sekretessbestämmelsen tillämplig på upp-
	giften även hos riksdagen.
	Av 10 kap. 8 § första stycket OSL framgår att riksdagen, när det är fråga
	om uppgifter hos riksdagen eller dess myndigheter, för ett särskilt fall får be-
	sluta om undantag från sekretess om det är motiverat av synnerliga skäl. I be-
	stämmelsens andra stycke sägs att även i andra fall än som avses i första
	stycket får riksdagen besluta om undantag från sekretess för uppgift hos riks-
	dagen. När det gäller uppgifter hos riksdagen själv prövar det organ hos vilken
	uppgiften förekommer frågan om undantag från sekretess.48 Det innebär att ett
	utskott förordnar om undantag från sekretessen i fråga om uppgifter hos ut-
	skottet och talmannen när det gäller uppgifter hos kammarkansliet.49 Enligt
	10 kap. 9 § första stycket OSL får riksdagen förena sådana beslut som anges i
	8 § första stycket med villkor att förbehåll som inskränker en enskild motta-
	gares rätt att lämna uppgiften vidare eller utnyttja den ska göras när uppgiften
	lämnas ut. Ett förbehåll innebär att mottagaren av uppgifterna inte fritt får an-
	vända sig av dem och att det genom förbehållet uppstår en tystnadsplikt.50 Om
	den som förbehållet riktar sig mot inte följer villkoren i förbehållet kan ansvar
	för brott mot tystnadsplikt enligt 20 kap. 3 § brottsbalken komma i fråga.
	I 10 kap. 9 § andra stycket OSL påminns om att den tystnadsplikt som upp-
	kommer genom ett förbehåll enligt första stycket inskränker den rätt att med-
	dela och offentliggöra uppgifter som följer av tryckfrihetsförordningen och
	yttrandefrihetsgrundlagen.

Särskilda regler för riksdagens ledamöter

Offentlighets- och sekretesslagens förbud mot att avslöja en uppgift som omfattas av sekretess gäller som redovisats tidigare även för riksdagens del. För utlämnande av en allmän handling hos ett utskott eller EU-nämnden gäller alltså bestämmelserna i offentlighets- och sekretesslagen.

När det gäller riksdagens ledamöter följer det av 41 kap. 2 § OSL att lagens bestämmelser om förbud mot att röja en uppgift eller i övrigt utnyttja den utanför den verksamhet för vilken den är sekretessreglerad inte gäller för riksdagens ledamöter om det är fråga om uppgifter som de har tagit emot under utförandet av sina uppdrag. Vissa bestämmelser om tystnadsplikt för riksdagsledamöter finns dock i 10 kap. 12 § RF och i 6 kap. 8 § och 7 kap. 20 § RO. I

48 Se Lenberg m.fl., Offentlighets- och sekretesslagen (1 januari 2021, Version 23, Juno), kommentaren till 10 kap. 8 §.

49 Se bet. 1979/80:KU37 s. 38.

50 Se Lenberg m.fl., Offentlighets- och sekretesslagen (1 januari 2021, Version 23, Juno), kommentaren till 10 kap. 9 §.

11 EN BESTÄMMELSE INFÖRS OM TYSTNADSPLIKT FÖR PARTIKANSLIANSTÄLLDA NÄR DET GÄLLER	2021/22:RS5
SÄKERHETSSKYDDSKLASSIFICERADE UPPGIFTER

10 kap. 12 § RF regleras tystnadsplikt i Utrikesnämnden. Ordföranden i nämnden kan besluta om tystnadsplikt för en ledamot av nämnden och den som i övrigt är knuten till nämnden, t.ex. som suppleant eller tjänsteman.

En övergripande bestämmelse om sammanträden i kammaren finns i regeringsformen. Enligt 4 kap. 9 § RF ska sammanträden i kammaren vara offentliga. Av bestämmelsen framgår dock att ett sammanträde kan hållas inom stängda dörrar enligt bestämmelserna i riksdagsordningen. I 6 kap. 7 och 8 §§ RO finns närmare bestämmelser om offentlighet vid sammanträden i kammaren och tystnadsplikt. Av 6 kap. 7 § andra stycket RO följer att kammaren får besluta att ett sammanträde ska hållas inom stängda dörrar, om det krävs med hänsyn till rikets säkerhet eller i övrigt till förhållandet till en annan stat eller en mellanfolklig organisation. Om regeringen ska lämna information till riksdagen vid ett sammanträde får även regeringen besluta om stängda dörrar på de grunder som anges i andra stycket, se 6 kap. 7 § tredje stycket RO.

Beslut om att ett sammanträde ska vara slutet kan alltså fattas dels av kammaren, dels av regeringen, när denna avser att lämna ett muntligt meddelande till riksdagen genom en minister vid sammanträdet. Ett förordnande om stängda dörrar kan avse en del av ett sammanträde.

Av 6 kap. 8 § RO följer att en ledamot inte obehörigen får röja vad som har framkommit vid ett sammanträde i kammaren som hållits inom stängda dörrar. Kammaren får besluta att i ett särskilt fall helt eller delvis upphäva tystnadsplikten.

Utskotten och EU-nämnden ska enligt 7 kap. 16 § första stycket RO sammanträda inom stängda dörrar. Av bestämmelsens andra stycke följer att utskotten och EU-nämnden får medge att även någon annan än en ledamot, en suppleant eller en tjänsteman i utskottet eller EU-nämnden får närvara vid ett sammanträde inom stängda dörrar. För EU-nämnden och för överläggningar i utskott i EU-frågor enligt 7 kap. 12 § RO krävs inget beslut för att ett statsråd eller en tjänsteman som åtföljer statsrådet ska få närvara.

Enligt 7 kap. 20 § RO får en ledamot eller en suppleant i ett utskott eller EU-nämnden inte obehörigen röja vad som enligt beslut av regeringen, utskottet eller EU-nämnden ska omfattas av sekretess till skydd för rikets säkerhet eller av annat synnerligen viktigt skäl som rör förhållandet till en främmande stat eller en mellanfolklig organisation. Det ska sägas att det i framställningen 2019 års riksdagsöversyn (framst. 2020/21:RS5) föreslås en ändring av tilläggsbestämmelse 13.11.2 RO så att det i den anges att 7 kap. 20 § RO ska tillämpas på krigsdelegationen när den inte är i riksdagens ställe.

Inskränkningar i rätten enligt tryckfrihetsförordningen och yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter när det gäller tystnadsplikterna för riksdagsledamöterna regleras i 44 kap. 1 § OSL. Enligt paragrafen har den tystnadsplikt som följer av ett beslut om ovillkorlig tystnadsplikt i Ut- rikesnämnden företräde framför meddelarfriheten. Den tystnadsplikt som kan följa av 6 kap. 8 § och 7 kap. 20 § RO har enligt samma paragraf också företräde framför rätten att meddela och offentliggöra uppgifter om det är fråga

2021/22:RS5	11 EN BESTÄMMELSE INFÖRS OM TYSTNADSPLIKT FÖR PARTIKANSLIANSTÄLLDA NÄR DET GÄLLER
	SÄKERHETSSKYDDSKLASSIFICERADE UPPGIFTER
	om uppgifter som om de röjs kan antas sätta rikets säkerhet i fara eller på annat
	sätt allvarligt skada landet.

Brott mot tystnadsplikten

Om någon röjer en uppgift som han eller hon är skyldig att hemlighålla enligt lag eller annan författning eller enligt förordnande eller förbehåll som har meddelats med stöd av lag eller annan författning, eller olovligen utnyttjar en sådan hemlighet, döms den personen, om inte gärningen på annat sätt är särskilt belagd med straff, för brott mot tystnadsplikt till böter eller fängelse i högst ett år. Detta framgår av 20 kap. 3 § första stycket brottsbalken. Enligt bestämmelsens andra stycke döms den som av oaktsamhet begår en gärning som avses i första stycket till böter. I ringa fall ska dock inte dömas till ansvar.

De partikanslianställda omfattas inte av 8 kap. 2 § säkerhetsskyddslagen när de deltar i riksdagens eller Riksdagsförvaltningens säkerhetskänsliga verksamhet

I 8 kap. 2 § säkerhetsskyddslagen finns en bestämmelse om tystnadsplikt för säkerhetsskyddsklassificerade uppgifter. Enligt bestämmelsens första stycke får den som på grund av anställning eller på annat sätt deltar eller har deltagit i säkerhetskänslig verksamhet inte obehörigen röja eller utnyttja säkerhetsskyddsklassificerade uppgifter. I bestämmelsens andra stycke finns en upplysning om att det i det allmännas verksamhet i stället är bestämmelserna i offentlighets- och sekretesslagen som tillämpas.

I 1 kap. 3 § första stycket säkerhetsskyddslagen sägs att endast bestämmelserna om säkerhetsskyddsklasser i 2 kap. 5 §, säkerhetsprövning i 3 kap. och säkerhetsintyg i 5 kap. gäller för riksdagen och dess myndigheter. Som utredningen konstaterar är dock adressaten för tystnadspliktsbestämmelsen i 8 kap. 2 § säkerhetsskyddslagen inte verksamhetsutövaren som sådan, utan den enskilde (”Den som …”) som genom sitt deltagande i säkerhetskänslig verksamhet kan tänkas få del av en säkerhetsskyddsklassificerad uppgift, dvs. här en partikanslianställd som deltar i riksdagens och/eller Riksdagsförvaltningens säkerhetskänsliga verksamhet. Sett till själva ordalydelsen i 8 kap. 2 § första stycket säkerhetsskyddslagen finns det alltså inte något som hindrar en tilllämpning av bestämmelsen i ett sådant fall.

Eftersom det i bestämmelsens andra stycke finns en upplysning om att det i det allmännas verksamhet i stället är bestämmelserna i offentlighets- och sekretesslagen som tillämpas är det dock även av betydelse vems säkerhetskänsliga verksamhet det är som de anställda vid partikanslierna deltar i. I förarbetena till 8 kap. 2 § säkerhetsskyddslagen nämns inget om hur bestämmelsen skulle kunna påverka riksdagens och dess myndigheters verksamhet. Däremot sägs bl.a. följande:

En brist i fråga om sekretess kan dock föreligga i vissa enskilda verksamheter som, utan att det är fråga om en upphandlingssituation, har kännedom om förhållanden av betydelse för Sveriges säkerhet eller förhållanden som

11 EN BESTÄMMELSE INFÖRS OM TYSTNADSPLIKT FÖR PARTIKANSLIANSTÄLLDA NÄR DET GÄLLER	2021/22:RS5
SÄKERHETSSKYDDSKLASSIFICERADE UPPGIFTER
omfattas av internationella säkerhetsskyddsåtaganden. Det handlar om när
säkerhetskänslig verksamhet bedrivs i enskild regi. Problemet har således
en begränsad räckvidd. Det bör kunna lösas genom en till offentlighets-
och sekretesslagen kompletterande bestämmelse om tystnadsplikt.51
Regeringen instämde i bedömningen att det borde införas en bestämmelse om
tystnadsplikt och sa att uppgifter av det slaget borde ha samma skydd oavsett
i vilken verksamhet som uppgifterna finns. Regeringen konstaterade också att
det finns bestämmelser om tystnadsplikt i enskild verksamhet även i flera
andra regleringar, t.ex. 16 § elberedskapslagen (1997:288).52
De förarbetsuttalanden som nyss har redogjorts för talar alltså om ett skydd
för säkerhetsskyddsklassificerade uppgifter som finns i enskild verksamhet.
Vad riksdagsstyrelsen har att ta ställning till är dock vad som gäller för parti-
kanslianställda som deltar i det allmännas verksamhet i form av riksdagens
eller Riksdagsförvaltningens säkerhetskänsliga verksamhet. I ett sådant fall
måste 8 kap. 2 § andra stycket säkerhetsskyddslagen beaktas. Där anges som
nämnts att i det allmännas verksamhet tillämpas i stället bestämmelserna i of-
fentlighets- och sekretesslagen. Som riksdagsstyrelsen har redogjort för ovan
gäller ju dock inte den lagens bestämmelser för de anställda vid partikansli-
erna.
Sammantaget gör detta att riksdagsstyrelsen, i likhet med utredningen, an-
ser att det finns en osäkerhet vad gäller om 8 kap. 2 § första stycket säkerhets-
skyddslagen är tillämplig på partikanslianställda när de deltar i riksdagens eller
Riksdagsförvaltningens säkerhetskänsliga verksamhet. Mot bakgrund av att
bestämmelsen föreskriver en tystnadsplikt för den som omfattas av bestäm-
melsen och brott mot tystnadsplikten är straffsanktionerat, är det vidare riks-
dagsstyrelsen bedömning att bestämmelsen, med hänsyn till legalitetsprinci-
pen, inte är tillämplig i fall där partikanslianställda i sitt deltagande i riksda-
gens eller Riksdagsförvaltningens säkerhetskänsliga verksamhet får del av sä-
kerhetsskyddsklassificerade uppgifter. En annan lösning måste därför hittas.

En ny bestämmelse om tystnadsplikt för partikanslianställda måste begränsas till den säkerhetskänsliga verksamheten

Moderaterna efterlyser i sitt remissvar en analys av behovet av tystnadsplikt för partikanslianställda även vad gäller säkerhetsklassade uppgifter som gruppen kan tänkas få del av i tjänsten i andra situationer än när de deltar i riksdagens eller Riksdagsförvaltningens säkerhetskänsliga verksamhet.

Till att börja med kan konstateras att vad som utgör riksdagens respektive Riksdagsförvaltningens säkerhetskänsliga verksamhet kan variera över tid. Riksdagsstyrelsen är medveten om att en bestämmelse med innebörden att partikanslianställda som vid deltagande i riksdagens eller Riksdagsförvaltningens säkerhetskänsliga verksamhet får del av säkerhetsskyddsklassificerade uppgifter inte får sprida dessa vidare innebär en begränsning i skyddet av sådana

51SOU 2015:25 s. 502.

52Prop. 2017/18:89 s. 120.

2021/22:RS5	11 EN BESTÄMMELSE INFÖRS OM TYSTNADSPLIKT FÖR PARTIKANSLIANSTÄLLDA NÄR DET GÄLLER
	SÄKERHETSSKYDDSKLASSIFICERADE UPPGIFTER
	uppgifter. Tystnadsplikten gäller ju inte om en partikanslianställd skulle få del
	av en sådan uppgift när han eller hon deltar i riksdagens eller Riksdagsförvalt-
	ningens övriga verksamhet. Riksdagsstyrelsen kan dock inte se att den har
	mandat att utsträcka tillämpningsområdet för en ny bestämmelse till att gälla
	även sådan verksamhet som inte är säkerhetskänslig. Som tystnadspliktsbe-
	stämmelsen i 8 kap. 2 § säkerhetsskyddslagen är utformad gäller även den
	endast för säkerhetsskyddsklassificerade uppgifter som man har fått del av på
	grund av anställning eller annat deltagande i just säkerhetskänslig verksamhet.

Föreskrifter eller förbehåll kan inte användas för att ge säkerhetsskyddsklassificerade uppgifter ett heltäckande skydd

En bestämmelse som innebär att partikanslianställda inte obehörigen får röja eller utnyttja säkerhetsskyddsklassificerade uppgifter som de fått del av när de har deltagit i riksdagens eller Riksdagsförvaltningens säkerhetskänsliga verksamhet har betydelse enbart för riksdagen och Riksdagsförvaltningen och inte för de andra myndigheterna under riksdagen. Av den anledningen vore det rimligt att placera bestämmelsen i en föreskrift som t.ex. riksdagsstyrelsens föreskrift (RFS 2019:1) om säkerhet och säkerhetsskydd i riksdagen, Riksdagsförvaltningen och partikanslierna. Att ålägga en partikanslianställd en tystnadsplikt utgör dock en begränsning av en grundläggande fri- och rättighet. En sådan begränsning måste som huvudregel ske genom lag, se 2 kap. 20 § första stycket 1 RF. Lösningen att reglera frågan genom föreskrift är därför inte ett gångbart alternativ. Två möjligheter finns då att lösa frågan – den ena är att använda sig av förbehåll enligt offentlighets- och sekretesslagen, den andra är att lagstifta om frågan. Just användandet av förbehåll är för övrigt något som förs fram i 2019 års riksdagsöversyn som ett alternativ om det skulle uppstå behov av information till t.ex. partiernas kanslichefer om krigsdelegationens förberedande verksamhet.53

Beroende på vilken aktör det är som avser att lämna ut en uppgift finns olika bestämmelser som reglerar förbehåll. Enligt 10 kap. 14 § första stycket OSL ska en myndighet – om den finner att sådan risk för skada, men eller annan olägenhet som enligt en bestämmelse om sekretess hindrar att en uppgift lämnas till en enskild kan undanröjas genom ett förbehåll som inskränker den enskildes rätt att lämna uppgiften vidare eller utnyttja den – göra ett sådant förbehåll när uppgiften lämnas till den enskilde. Av 10 kap. 8 och 9 §§ OSL följer att när det gäller en uppgift hos riksdagen får riksdagen, om den i ett särskilt fall beslutar om undantag från sekretess, förena beslutet med villkor att förbehåll som inskränker en enskild mottagares rätt att lämna uppgiften vidare eller utnyttja den ska göras vid utlämnande av uppgiften. Prövningen ska i ett sådant fall göras av det organ hos vilket uppgiften förekommer. Ett riksdagsutskott förordnar alltså om undantag från sekretessen i fråga om uppgifter hos utskottet.

53 Framst. 2020/21:RS5 s. 41 f.

11 EN BESTÄMMELSE INFÖRS OM TYSTNADSPLIKT FÖR PARTIKANSLIANSTÄLLDA NÄR DET GÄLLER	2021/22:RS5
SÄKERHETSSKYDDSKLASSIFICERADE UPPGIFTER

En lösning där man använder sig av förbehåll innebär att det inte behövs någon ny lagstiftning. Eftersom förbehåll måste skrivas för varje tillfälle som en säkerhetsskyddsklassificerad uppgift lämnas ut kan det också inskärpa vikten av att sådana uppgifter inte lämnas ut mer än undantagsvis. Ett problem är dock att förbehåll inte kan användas i alla situationer. Ett förbehåll enligt 10 kap. 14 § OSL kan som sagt bara användas om uppgiften kommer från en myndighet, vilket i riksdagens arbete snarast skulle vara Riksdagsförvaltningen. Ett sådant förbehåll kan inte användas om det är en uppgift som det råder absolut sekretess för. Uppgifter som kommer från riksdagen (t.ex. ett utskott) kan lämnas ut med ett förbehåll enligt 10 kap. 8 och 9 §§ OSL. Ett sådant förbehåll kan användas vid alla typer av sekretess, dvs. även vid absolut sekretess. Skulle det däremot vara så att uppgiften kommer från en enskild riksdagsledamot, t.ex. i samband med att ledamoten diskuterar en fråga med en partikanslianställd, kan inget av ovanstående förbehåll användas. Visserligen finns det bestämmelser i regeringsformen och riksdagsordningen som i vissa fall kan hindra riksdagsledamoten från att dela med sig av uppgifter. Samtidigt är de bestämmelserna inte heltäckande och innebär dessutom inget skydd om uppgiften väl har kommit en partikanslianställd till del.

En användning av de förbehållsmöjligheter som finns i offentlighets- och sekretesslagen ger alltså inte alltid ett heltäckande skydd för säkerhetsskyddsklassificerade uppgifter som har kommit en partikanslianställd till del. Med tanke på vikten av att skydda sådana uppgifter delar riksdagsstyrelsen utredningens bedömning att förbehåll inte kan ses som en lämplig lösning.

Det behövs en reglering i lag för att säkerställa skyddet för säkerhetsskyddsklassificerade uppgifter

Riksdagsstyrelsen vill återigen betona att tanken med en reglering av tystnadsplikten för partikanslianställda inte är att utöka möjligheterna för dessa att få ta del av säkerhetsskyddsklassificerade uppgifter. Utgångspunkten måste, liksom den är i dag, vara att de inte ska ta del av sådana uppgifter.

Riksdagsstyrelsen anser som sagt var att en bestämmelse om tystnadsplikt för partikanslianställda måste placeras i lag. Eftersom bestämmelsen rör riksdagens och Riksdagsförvaltningens säkerhetskänsliga verksamhet ligger det närmast till hands att undersöka en placering i lagen om säkerhetsskydd i riksdagen och dess myndigheter. Partikanslierna finns i och för sig inte med i uppräkningen i 1 § nämnda lag som klargör lagens tillämpningsområde. Däremot framgår av den bestämmelsen att lagen om säkerhetsskydd i riksdagen och dess myndigheter gäller i verksamhet vid riksdagen och vid bl.a. Riksdagsförvaltningen. Eftersom det som är skälet till den tystnadsplikt som riksdagsstyrelsen föreslår är just de partikanslianställdas deltagande i riksdagens eller Riksdagsförvaltningens säkerhetskänsliga verksamhet anser riksdagsstyrelsen, i likhet med utredningen, att en bestämmelse om tystnadsplikt för partikanslianställda kan placeras i lagen om säkerhetsskydd i riksdagen och dess myndigheter. Bestämmelsen bör därvid utformas som att en anställd vid ett

2021/22:RS5	11 EN BESTÄMMELSE INFÖRS OM TYSTNADSPLIKT FÖR PARTIKANSLIANSTÄLLDA NÄR DET GÄLLER
	SÄKERHETSSKYDDSKLASSIFICERADE UPPGIFTER
	partikansli inte obehörigen får röja eller utnyttja säkerhetsskyddsklassificerade
	uppgifter som han eller hon har fått del av vid deltagande i riksdagens säker-
	hetskänsliga verksamhet. En sådan bestämmelse anger klart och tydligt vem
	som träffas av den och vilka uppgifter som tystnadsplikten omfattar. Tillämp-
	ningsområdet för bestämmelsen är också begränsat – tystnadsplikten är avsedd
	att träffa det som för nationen är mest skyddsvärt i form av säkerhetsskydds-
	klassificerade uppgifter. Därmed kan riksdagsstyrelsen inte se annat än att den
	bestämmelse som föreslås är väl avvägd.

2021/22:RS5

12 Ikraftträdande- och övergångsbestämmelser

Riksdagsstyrelsens förslag: Lagändringarna ska träda i kraft den 1 juli 2022.

För säkerhetsskyddsavtal som har ingåtts före ikraftträdandet gäller 12 § lagen om säkerhetsskydd i riksdagen och dess myndigheter i dess äldre lydelse.

Utredningens förslag

Förslagen överensstämmer med riksdagsstyrelsens.

Remissinstanserna

Remissinstanserna tillstyrker förslagen, har inget att invända eller avstår från att lämna synpunkter.

Skälen för riksdagsstyrelsens förslag

Ikraftträdande

De föreslagna lagändringarna syftar till att på ena eller andra sättet stärka säkerhetsskyddet för riksdagen och dess myndigheter. För bl.a. myndigheterna under regeringen gäller sedan den 1 december 2021 nya bestämmelser i säkerhetsskyddslagen och en ny säkerhetsskyddsförordning. Dessa reglerar vad som gäller i fråga om, såvitt är av intresse här, säkerhetsskyddschefen och skyldigheter när en annan aktör kan få tillgång till säkerhetskänslig verksamhet.

Riksdagsstyrelsen anser att det är angeläget att även de nya bestämmelserna för riksdagen och dess myndigheter kan träda i kraft så fort det är möjligt. Samtidigt är det, som utredningen anför, viktigt att det ges tillräckligt med tid för riksdagen och dess myndigheter att ta fram det interna regelverk som behövs som ett komplement till de lagändringar som föreslås. Riksdagsstyrelsens bedömning är därför att lagändringarna bör träda i kraft den 1 juli 2022.

Utredningen nämner i betänkandet att det kan finnas skäl att bryta ut och separat behandla frågan om huruvida kopplingen mellan säkerhetsskyddsavtal och säkerhetsprövning ska förtydligas, för att på så vis möjliggöra ett eventuellt ikraftträdande i den delen redan den 1 december 2021. Riksdagsstyrelsen har dock inte sett ett sådant förfarande som nödvändigt, varför även den bestämmelsen alltså bör träda i kraft den 1 juli 2022.

2021/22:RS5

12 IKRAFTTRÄDANDE- OCH ÖVERGÅNGSBESTÄMMELSER

Övergångsbestämmelser

Huvudprincipen i svensk rätt är att civilrättslig lagstiftning inte ska ges retroaktiv verkan. Riksdagsstyrelsen anser därför, i likhet med utredningen, att de föreslagna bestämmelserna om säkerhetsskyddsavtal inte bör tillämpas på sådana säkerhetsskyddsavtal som har ingåtts innan bestämmelserna träder i kraft. För sådana avtal bör i stället den hittills gällande 12 § lagen om säkerhetsskydd i riksdagen och dess myndigheter och eventuella interna föreskrifter som har meddelats i anslutning till den paragrafen gälla. Det bör komma till uttryck i en övergångsbestämmelse. Vidare bör samarbeten och samverkan som har inletts före ikraftträdandet och som inte omfattas av det nuvarande kravet på säkerhetsskyddsavtal inte heller omfattas av det föreslagna utvidgade kravet på att ingå säkerhetsskyddsavtal. Det bör alltså inte finnas en skyldighet att ingå säkerhetsskyddsavtal i efterhand i sådana situationer. Någon övergångsbestämmelse för att bestämmelserna ska tillämpas på det sättet behövs dock inte enligt riksdagsstyrelsens bedömning.

2021/22:RS5

13 Konsekvenser av förslagen

Riksdagsstyrelsens bedömning: Förslagen förväntas leda till vissa kostnadsökningar. En organisatorisk förändring måste också göras hos vissa av myndigheterna i form av inrättandet av funktionen säkerhetsskyddschef.

Utredningens bedömning

Bedömningen överensstämmer med riksdagsstyrelsens.

Remissinstanserna

Remissinstanserna har inget att invända eller avstår från att lämna synpunkter.

Skälen för riksdagsstyrelsens bedömning

Ekonomiska och organisatoriska konsekvenser för

Riksdagsförvaltningen, Riksbanken, Riksdagens ombudsmän och

Riksrevisionen

Arbetet med att organisera säkerhetsskyddsarbetet är pågående hos flera av riksdagens större myndigheter. I stort kan dock följande sägas om förväntade ekonomiska och organisatoriska konsekvenser.

För att uppnå ett skydd liknande det som tillsyn enligt säkerhetsskyddslagen ger, föreslår riksdagsstyrelsen att det ska ske en granskning inriktad på efterlevnad och ändamålsenlighet. Riksdagens myndigheter ska vid beslut om sådan granskning samråda med Säkerhetspolisen. Riksdagsstyrelsen bedömer att kostnaderna för detta kan hanteras inom ramen för den ordinarie verksamheten.

Vidare föreslår riksdagsstyrelsen att det hos Riksdagsförvaltningen, Riksbanken, Riksdagens ombudsmän och Riksrevisionen ska finnas en säkerhetsskyddschef med ett ansvar för att göra en granskning. Inte heller där ser riksdagsstyrelsen någon nämnvärd ökad kostnad – vissa myndigheter har redan i dag en säkerhetsskyddschef. Hur den interna organisationen kring säkerhetsskyddschefen ska inrättas får bli upp till respektive myndighet att avgöra.

När det gäller införandet av en anmälningsskyldighet vid säkerhetshotande händelser föreslås att det ska införas en skyldighet för riksdagen och för dess myndigheter att till Säkerhetspolisen skyndsamt anmäla vissa säkerhetshotande händelser och verksamhet. Riksdagsstyrelsen kan inte se att det i sig kommer att leda till några ökade kostnader eller organisatoriska förändringar.

Förslag om nya bestämmelser om säkerhetsskyddsavtal vid utkontraktering och liknande förfaranden innebär att fler förfaranden än vad som är fallet i dag kommer att omfattas av kravet på säkerhetsskyddsavtal. Själva processen för

2021/22:RS5	13 KONSEKVENSER AV FÖRSLAGEN
	säkerhetsskyddsavtal kommer också att bli mer omfångsrik. Vissa av myndig-
	heterna har redan ett internt regelverk om t.ex. säkerhetsskyddsavtal med un-
	derleverantörer och revidering av säkerhetsskyddsavtal. Riksdagsstyrelsen ser
	det som svårt att på förhand avgöra hur många fler förfaranden som kommer
	att omfattas av kravet på säkerhetsskyddsavtal. Bedömningen är dock att för-
	slagen kommer att innebära kostnadsökningar för flera av myndigheterna.
	Förslaget om att nuvarande ansvarsfördelning vid säkerhetsprövning av
	partikanslianställda ska kvarstå men regleras i lag bedöms inte medföra några
	ökade kostnader eller organisatoriska förändringar. Samma gäller förslaget att
	i lag införa en bestämmelse om tystnadsplikt för anställda vid partigruppernas
	kanslier.
	Vissa av förslagen kommer alltså att innebära ökade kontakter med Säker-
	hetspolisen, vilket det måste finnas utrymme för vid planeringen av den myn-
	dighetens resurser.
	Sammanfattningsvis är det riksdagsstyrelsens bedömning att förslagen kan
	komma att leda till vissa kostnadsökningar. En organisatorisk förändring
	måste också göras hos vissa av myndigheterna i form av inrättandet av funk-
	tionen säkerhetsskyddschef.
	Ekonomiska och organisatoriska konsekvenser för
	nämndmyndigheterna
	Merparten av riksdagens nämndmyndigheter har för utredningen uppgett att
	de inte har gjort någon säkerhetsskyddsanalys. De nämnder som har gjort en
	sådan analys har kommit fram till att de inte bedriver någon säkerhetskänslig
	verksamhet. Eftersom det någon gång i framtiden skulle kunna inträffa ett en
	nämndmyndighet bedriver säkerhetskänslig verksamhet och därmed behöver
	tillämpa bestämmelserna i lagen om säkerhetsskydd i riksdagen och dess myn-
	digheter kan dock det som sägs i denna framställning i vissa fall komma att
	gälla även för nämnderna. I likhet med utredningen ser riksdagsstyrelsen det
	som allt för osäkert att bedöma i vilken omfattning det kan komma att bli ak-
	tuellt och det går därför inte att säga något om eventuella kostnadsökningar
	för dessa nämnder. Förslagen bedöms dock inte medföra några organisatoriska
	konsekvenser för nämndmyndigheterna.

2021/22:RS5

14 Författningskommentar

14.1Förslag till lag om ändring i lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter

Utformningen av säkerhetsskyddet

3 § Den som bedriver säkerhetskänslig verksamhet ska utreda behovet av säkerhetsskydd (säkerhetsskyddsanalys). Säkerhetsskyddsanalysen ska dokumenteras.

Verksamhetsutövaren är skyldig att skyndsamt anmäla säkerhetshotande händelser och verksamhet i den egna verksamheten till Säkerhetspolisen.

I paragrafen anges vilka skyldigheter den som bedriver säkerhetskänslig verksamhet har. Paragrafen kompletteras med ett fjärde stycke som anger en skyldighet för verksamhetsutövaren att skyndsamt anmäla säkerhetshotande händelser och verksamhet i den egna verksamheten till Säkerhetspolisen. I och med att det står ”verksamhetsutövaren” omfattas även riksdagen av skyldigheten.

Vad som avses med säkerhetshotande händelser och verksamhet i den egna verksamheten, dvs. vad som i detalj ska anmälas, regleras inte i paragrafen. Det får i stället regleras i respektive institutions interna föreskrifter.

Övervägandena finns i avsnitt 8.1.

Granskning

3 a § Som en del i kontrollen enligt 3 § tredje stycket ska en myndighet som anges i 1 §, efter samråd med Säkerhetspolisen, vid behov besluta att göra en granskning av att den verksamhet den svarar för bedrivs enligt denna lag, det regelverk som har meddelats i anslutning till lagen och säkerhetsskyddslagen (2018:585) i tillämpliga delar samt en granskning av regelverkets ändamålsenlighet.

Paragrafen är ny. I första stycket slås det fast en skyldighet för riksdagens myndigheter att vid behov besluta att göra en granskning, detta som en del i

2021/22:RS5	14 FÖRFATTNINGSKOMMENTAR
	den kontroll av säkerhetsskyddet som ska göras enligt 3 § tredje stycket lagen
	om säkerhetsskydd i riksdagen och dess myndigheter. Genom skrivningen
	”den verksamhet den svarar för” omfattas för Riksdagsförvaltningens del även
	en granskning av riksdagens säkerhetsskydd.
	Granskningen ska innehålla dels en granskning av att verksamheten bedrivs
	i enlighet med tillämpliga säkerhetsskyddsbestämmelser, dels en granskning
	av regelverkets ändamålsenlighet. Med ”regelverk” avses de bestämmelser
	myndigheterna har i form av föreskrifter, riktlinjer, instruktioner, rutiner och
	liknande. Vad ”vid behov” innebär kan påverkas av t.ex. omfattningen av den
	säkerhetskänsliga verksamheten, förändring av densamma och omvärldshän-
	delser. Det sägs också att granskning ska beslutas ”efter samråd med Säker-
	hetspolisen”. Tanken med samrådskravet är att Säkerhetspolisen ska kunna
	dela med sig av sina erfarenheter av var på säkerhetsskyddsområdet det kan
	förekomma brister och vilka områden som därför kan behöva granskas. Sam-
	rådskravet behöver alltså inte innebära att det är Säkerhetspolisen som sedan
	utför själva granskningen. Hur samrådet ska gå till är upp till respektive riks-
	dagsmyndighet att själv avgöra.
	I andra stycket finns ett krav på att Riksdagsförvaltningen, Riksbanken,
	Riksdagens ombudsmän och Riksrevisionen årligen skriftligen till riksdagen
	ska redovisa vilka granskningar som har beslutats enligt första stycket. Syftet
	med redovisningskravet är dels att ytterligare inskärpa vikten av att göra en
	granskning, dels att ge berört utskott en bild av hur arbetet med säkerhets-
	skyddsfrågor ser ut. Det är sedan upp till utskottet att eventuellt agera utifrån
	vad som framkommer av skrivelsen.
	Övervägandena finns i avsnitt 6.1–6.3.

Säkerhetsskyddschef

3 b § Vid Riksdagsförvaltningen, Riksbanken, Riksdagens ombudsmän och Riksrevisionen ska det finnas en säkerhetsskyddschef.

Säkerhetsskyddschefen ska leda och samordna säkerhetsskyddsarbetet samt granska att verksamheten bedrivs enligt denna lag, det regelverk som har meddelats i anslutning till lagen och säkerhetsskyddslagen (2018:585) i tilllämpliga delar. Säkerhetsskyddschefen ska också granska regelverkets ändamålsenlighet. Detta ansvar kan inte delegeras.

Paragrafen är ny och reglerar att det ska finnas en säkerhetsskyddschef vid Riksdagsförvaltningen, Riksbanken, Riksdagens ombudsmän och Riksrevisionen samt vilka uppgifter denna chef ska ha. Det framgår också att säkerhetsskyddschefens ansvar inte kan delegeras.

Vad säkerhetsskyddschefen i övrigt ska ha för uppgifter och befogenheter är upp till respektive myndighet att avgöra och reglera i sitt interna regelverk.

Övervägandena finns i avsnitt 7.1 och avsnitt 7.2.

14 FÖRFATTNINGSKOMMENTAR

2021/22:RS5

Säkerhetsskyddsavtal

12 § En myndighet som anges i 1 § och som avser att genomföra en upphandling, ingå ett avtal eller inleda en samverkan eller ett samarbete med en annan aktör, ska ingå ett säkerhetsskyddsavtal med aktören, om aktören genom förfarandet kan få tillgång till

1.säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller

2.annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

Ett säkerhetsskyddsavtal ska ingås innan motparten kan få tillgång till den säkerhetskänsliga verksamheten.

Paragrafen är delvis ny. Första stycket motsvarar delvis hittills gällande 12 § första stycket. Kravet på riksdagens myndigheter att ingå säkerhetsskyddsavtal utvidgas dock till att inte bara gälla upphandlingssituationer utan alla slags avtal, samarbeten och samverkan, med de undantag som framgår av den föreslagna 13 §. Det spelar alltså ingen roll om myndigheten i fråga är beställare eller leverantör i ett avtalsförhållande.

I andra stycket uppställs en skyldighet för myndigheterna att i vissa fall ingå säkerhetsskyddsavtal med underleverantörer.

Tredje stycket innebär en skyldighet för myndigheten att ingå säkerhetsskyddsavtalet innan motparten i säkerhetsskyddsavtalet kan få tillgång till den säkerhetskänsliga verksamheten.

Övervägandena finns i avsnitt 9.1.

13 § Mellan myndigheter som anges i 1 § och mellan sådana myndigheter och andra statliga myndigheter gäller kravet på säkerhetsskyddsavtal enligt 12 § endast vid anskaffning av en vara, tjänst eller byggentreprenad.

Kravet på säkerhetsskyddsavtal enligt 12 § gäller inte heller när Riksdagsförvaltningen inom ramen för 1 § andra stycket 1 lagen (2011:745) med instruktion för Riksdagsförvaltningen tillhandahåller resurser och service för talmannens, kammarens, utskottens och övriga riksdagsorganens verksamhet samt för riksdagsledamöterna och partikanslierna.

Om det finns särskilda skäl får en myndighet som anges i 1 § i enskilda fall besluta om undantag från skyldigheten att ingå säkerhetsskyddsavtal.

Paragrafen är ny. I första stycket anges en begränsning av skyldigheten för riksdagens myndigheter att ingå säkerhetsskyddsavtal. Ledning vid tolkning av begreppet anskaffning kan hämtas i upphandlingslagstiftningen.

Av andra stycket framgår ytterligare ett undantag från kravet på säkerhetsskyddsavtal, nämligen sådana situationer där Riksdagsförvaltningen inom

2021/22:RS5	14 FÖRFATTNINGSKOMMENTAR
	ramen för 1 § andra stycket 1 lagen med instruktion för Riksdagsförvaltningen
	tillhandahåller resurser och service för talmannens, kammarens, utskottens
	och övriga riksdagsorganens verksamhet samt för riksdagsledamöterna och
	partikanslierna. Till riksdagsorgan räknas bl.a. myndigheterna under riksda-
	gen.
	Eftersom det kan finnas även andra situationer än de som täcks in av un-
	dantagen i första och andra stycket där det inte framstår som rimligt eller nöd-
	vändigt med ett krav på säkerhetsskyddsavtal ges myndigheterna genom tredje
	stycket en möjlighet att, om det finns särskilda skäl, i enskilda fall besluta om
	undantag från skyldigheten att ingå säkerhetsskyddsavtal. Särskilda skäl kan
	t.ex. vara om den konstitutionella självständigheten för någon aktör riskerar
	att påverkas eller ifrågasättas.
	Frånvaro av ett krav på säkerhetsskyddsavtal innebär inte att myndighet-
	erna kan bortse från säkerhetsskyddet. Detta får i stället tillgodoses på andra
	sätt som t.ex. genom någon annan form av säkerhetsskyddsöverenskommelse.
	Förslaget behandlas i 9.2.

14 § Ett säkerhetsskyddsavtal ska innehålla de krav på motparten som behövs för att kraven på säkerhetsskydd enligt 3 § ska kunna tillgodoses.

Ett säkerhetsskyddsavtal ska även reglera hur en myndighet som anges i

1§ ska få kontrollera att motparten följer säkerhetsskyddsavtalet och att myndigheten har rätt att revidera avtalet om det krävs på grund av ändrade förhållanden.

Paragrafen är ny och anger vad ett säkerhetsskyddsavtal ska innehålla. Dess första stycke motsvarar delvis vad som i dag framgår av 12 §. Kravet utvidgas dock till att gälla inte enbart leverantörer utan alla aktörer som de aktuella myndigheterna kan ingå säkerhetsskyddsavtal med enligt den föreslagna 12 §. Vidare framgår att myndigheterna inte bara har en skyldighet att reglera vilka motpartens åtaganden är utan även att se till att de krav som ställs på motparten gör att kraven på säkerhetsskydd kan tillgodoses under förfarandet.

Enligt andra stycket ska myndigheten även se till att det i säkerhetsskyddsavtalet anges hur den ska få kontrollera att motparten följer säkerhetsskyddsavtalet och att myndigheten har rätt att revidera säkerhetsskyddsavtalet om det krävs på grund av ändrade förhållanden. Det är viktigt att myndigheterna ser till att i sina avtal med respektive motpart tydligt reglera att de har en möjlighet att ingripa och vidta åtgärder om det behövs.

Övervägandena finns i avsnitt 9.4.

15 § Vid säkerhetsprövning enligt ett säkerhetsskyddsavtal tillämpas bestämmelserna i 3 kap. säkerhetsskyddslagen (2018:585) och föreskrifter som har meddelats i anslutning till de bestämmelserna.

Paragrafen är ny och innehåller ett förtydligande av kopplingen mellan säkerhetsskyddsavtal och säkerhetsprövning. Enligt paragrafen tillämpas 3 kap. säkerhetsskyddslagen och föreskrifter som har meddelats i anslutning till

14 FÖRFATTNINGSKOMMENTAR

2021/22:RS5

bestämmelserna i det kapitlet vid säkerhetsprövning enligt ett säkerhetsskyddsavtal. Det innebär bl.a. att avtalet kan utgöra grund för krav på säkerhetsprövning av motpartens personal i enlighet med de bestämmelserna. Vi- dare innebär det att avtalet kan utgöra grund för beslut om att placera en anställning eller annat deltagande hos motparten i säkerhetsklass och följaktligen även för registerkontroll och särskild personutredning. Bestämmelsen gäller inte överenskommelser om säkerhetsskydd som har ingåtts utan att det finns krav på säkerhetsskyddsavtal enligt 12 §.

Övervägandena finns i avsnitt 9.3.

16 § En myndighet som anges i 1 § ska kontrollera att motparten följer säkerhetsskyddsavtalet och revidera avtalet om det krävs på grund av ändrade förhållanden.

Om motparten inte följer säkerhetsskyddsavtalet, ska myndigheten vidta de åtgärder som behövs för att tillgodose kraven på säkerhetsskydd.

Paragrafen är ny och reglerar kontroll och revidering av ett säkerhetsskyddsavtal. Kravet i första stycket på att kontrollera att säkerhetsskyddsavtalet följs motsvarar i allt väsentligt hittills gällande 12 § andra stycket. Kravet utvidgas dock till att gälla inte enbart leverantörer utan alla aktörer som de aktuella myndigheterna kan ingå säkerhetsskyddsavtal med enligt den föreslagna 12 §. Kravet på myndigheten att se till att säkerhetsskyddsavtalet revideras om det krävs på grund av ändrade förhållanden är nytt.

Enligt andra stycket har myndigheten en skyldighet att agera om motparten inte följer säkerhetsskyddsavtalet. Myndigheten ska då vidta de åtgärder som behövs för att tillgodose kraven på säkerhetsskydd.

Övervägandena finns i avsnitt 9.4.

Skyldigheter inför förfaranden som kräver säkerhetsskyddsavtal

17 § En myndighet som anges i 1 § som avser att genomföra ett förfarande som innebär ett krav på säkerhetsskyddsavtal enligt 12 § första stycket ska göra en särskild säkerhetsskyddsbedömning och lämplighetsprövning enligt 18 §. Myndigheten ska också samråda enligt 19 §.

Paragrafen är ny och reglerar särskild säkerhetsskyddsbedömning, lämplighetsprövning och samråd inför förfaranden som kräver säkerhetsskyddsavtal. Den innebär att en myndighet som avser att genomföra ett förfarande som innebär krav på säkerhetsskyddsavtal ska göra en särskild säkerhetsskyddsbedömning och en lämplighetsprövning enligt den föreslagna 18 § samt samråda med Säkerhetspolisen enligt den föreslagna 19 §. Detta medför att om förfarandet inte innebär krav på säkerhetsskyddsavtal, eller om det omfattas av ett undantag från kravet på säkerhetsskyddsavtal, så gäller inte någon skyldighet att göra en särskild säkerhetsskyddsbedömning eller lämplighetsprövning eller att samråda.

2021/22:RS5	14 FÖRFATTNINGSKOMMENTAR
	Hänvisningen till 12 § första stycket innebär att skyldigheterna inte gäller
	inför ett sådant anlitande av en underleverantör som innebär krav på säkerhets-
	skyddsavtal enligt 12 § andra stycket.
	Övervägandena finns i avsnitt 9.5.
	18 § Innan ett sådant förfarande som avses i 12 § första stycket inleds ska en
	myndighet som anges i 1 § genom en särskild säkerhetsskyddsbedömning iden-
	tifiera vilka säkerhetsskyddsklassificerade uppgifter eller vilken säkerhets-
	känslig verksamhet i övrigt som den andra aktören kan få tillgång till och som
	kräver säkerhetsskydd.
	Med utgångspunkt i den särskilda säkerhetsskyddsbedömningen och övriga
	omständigheter ska myndigheten pröva om det planerade förfarandet är lämp-
	ligt från säkerhetsskyddssynpunkt.
	Den särskilda säkerhetsskyddsbedömningen och lämplighetsprövningen
	ska dokumenteras.
	Om lämplighetsprövningen leder till bedömningen att det planerade förfa-
	randet är olämpligt från säkerhetsskyddssynpunkt, får det inte inledas.
	Paragrafen är ny och reglerar särskild säkerhetsskyddsbedömning och lämp-
	lighetsprövning. Av första stycket framgår att en myndighet ska göra en sär-
	skild säkerhetsskyddsbedömning innan den inleder ett sådant förfarande som
	avses i 12 § första stycket. Det innebär att myndigheten ska identifiera vilka
	säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verk-
	samhet i övrigt som den andra aktören kan få tillgång till och som kräver sä-
	kerhetsskydd. Den särskilda säkerhetsskyddsbedömningen ska utgöra ett un-
	derlag för den lämplighetsprövning som ska göras och som regleras i andra
	stycket.
	Enligt andra stycket ska myndigheten, med utgångspunkt i den särskilda
	säkerhetsskyddsbedömningen och övriga omständigheter, pröva om det pla-
	nerade förfarandet är lämpligt från säkerhetsskyddssynpunkt. Både den sär-
	skilda säkerhetsskyddsbedömningen och lämplighetsprövningen ska avse
	samtliga moment i det planerade förfarandet. Det kan finnas förfaranden som
	inte är lämpliga oavsett vilka säkerhetsskyddsåtgärder som vidtas.
	Av tredje stycket framgår att den särskilda säkerhetsskyddsbedömningen
	och lämplighetsprövningen ska dokumenteras.
	I fjärde stycket klargörs att myndigheten inte får inleda det planerade för-
	farandet om lämplighetsprövningen enligt andra stycket leder till bedöm-
	ningen att det är olämpligt från säkerhetsskyddssynpunkt.
	Övervägandena finns i avsnitt 9.5.
	19 § Om lämplighetsprövningen enligt 18 § leder till bedömningen att det pla-
	nerade förfarandet inte är olämpligt från säkerhetsskyddssynpunkt, ska myn-
	digheten innan den inleder förfarandet samråda med Säkerhetspolisen, om det
	planerade förfarandet innebär att den andra aktören kan få tillgång till

100

14 FÖRFATTNINGSKOMMENTAR

2021/22:RS5

1.säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre, eller

2.annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

Paragrafen är ny och reglerar samråd med Säkerhetspolisen. Om lämplighetsprövningen enligt den föreslagna 18 § leder till bedömningen att det planerade förfarandet inte är olämpligt från säkerhetsskyddssynpunkt, är myndigheterna skyldiga att i vissa fall samråda med Säkerhetspolisen.

Av punkt 1 framgår att en skyldighet att samråda inträder om förfarandet innebär att den andra aktören kan få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre. Med ”den andra aktören” avses detsamma som ”annan aktör” i 12 §.

Av punkt 2 framgår att samrådsskyldighet också inträder om förfarandet kan ge den andra aktören tillgång till annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet som de säkerhetsskyddsklassificerade uppgifter som avses i första punkten. Det innebär att tillgången till verksamheten måste kunna medföra allvarlig skada för Sveriges säkerhet för att andra punkten ska vara tillämplig.

Paragrafen medför inga befogenheter för Säkerhetspolisen att på egen hand inleda ett samråd eller vidta några åtgärder med anledning av samrådet.

Övervägandena finns i avsnitt 9.5.

Tystnadsplikt

20 § En anställd vid ett sådant kansli som avses i 3 kap. 6 § lagen (2016:1109) om stöd till partigrupperna för riksdagsledamöternas arbete i riksdagen får inte obehörigen röja eller utnyttja säkerhetsskyddsklassificerade uppgifter som han eller hon har fått del av vid deltagande i riksdagens eller Riksdagsförvaltningens säkerhetskänsliga verksamhet.

Paragrafen är ny och innebär att anställda vid ett sådant kansli som avses i 3 kap. 6 § lagen om stöd till partigrupperna för riksdagsledamöternas arbete i riksdagen, dvs. personer som har anställts antingen av ett partikansli eller av ett parti för att biträda riksdagens ledamöter, i vissa fall åläggs en tystnadsplikt. Tystnadsplikten gäller säkerhetsskyddsklassificerade uppgifter som en sådan anställd har fått del av vid deltagande i riksdagens eller Riksdagsförvaltningens säkerhetskänsliga verksamhet.

Regleringen innebär ingen utvidgning av möjligheterna för de partikanslianställda att få ta del av säkerhetsskyddsklassificerade uppgifter. Utgångspunkten ska även fortsättningsvis vara att de inte får ta del av sådana uppgifter. De grundläggande förutsättningarna för att sådana uppgifter ändå kan få komma partikanslianställda till del finns reglerat i 3 kap. 1 och 2 §§ riksdagsstyrelsens föreskrift (RFS 2019:1) om säkerhet och säkerhetsskydd i riksdagen, Riksdagsförvaltningen och partikanslierna. Givetvis måste ett

101

2021/22:RS5	14 FÖRFATTNINGSKOMMENTAR
	utlämnande av uppgifterna vara förenligt med bestämmelserna i offentlighets-
	och sekretesslagen.
	Övervägandena finns i avsnitt 11.

Ikraftträdande- och övergångsbestämmelser

1.Denna lag träder i kraft den 1 juli 2022.

2.Bestämmelsen i 12 § i den äldre lydelsen gäller fortfarande för säkerhetsskyddsavtal som har ingåtts före ikraftträdandet.

Punkt 1 föreskriver att lagen träder i kraft den 1 juli 2022.

Enligt punkt 2 gäller 12 § i den äldre lydelsen för säkerhetsskyddsavtal som har ingåtts före ikraftträdandet. Det innebär att kraven enligt paragrafens äldre lydelse på ett säkerhetsskyddsavtals innehåll och hur det ska följas upp gäller för sådana avtal som har ingåtts före ikraftträdandet.

Övervägandena finns i avsnitt 12.

102

14 FÖRFATTNINGSKOMMENTAR

2021/22:RS5

14.2Förslag till lag om ändring i säkerhetsskyddslagen (2018:585)

3 kap. Säkerhetsprövning Ansvar för säkerhetsprövningen

4 § Säkerhetsprövningen ska utgå från uppgifter som kommit fram när grundutredningen gjordes och den kännedom som i övrigt finns om den som ska prövas, uppgifter som har lämnats ut efter registerkontroll och särskild personutredning, arten av den verksamhet som prövningen gäller samt omständigheterna i övrigt.

Bedömningen görs av den som beslutar om anställning eller annat deltagande i den säkerhetskänsliga verksamheten, om inte annat följer av tredje stycket, 4 a, 4 b eller 4 c §.

Om det finns anledning till det, ska en tidigare gjord bedömning av en persons lämplighet att delta i den säkerhetskänsliga verksamheten omprövas.

Paragrafen reglerar hur bedömningen vid ställningstagande till anställning eller deltagande i säkerhetskänslig verksamhet ska göras och vem som ansvarar för den. I andra stycket görs ett tillägg som innebär att det som där anges om ansvar för bedömningen av säkerhetsprövningen inte gäller om något annat följer av 4 c §.

Övervägandena finns i avsnitt 10.

4 c § Den slutliga bedömningen enligt 4 § görs av Riksdagsförvaltningen när det gäller anställda vid sådana kanslier som avses i 3 kap. 6 § lagen (2016:1109) om stöd till partigrupperna för riksdagsledamöternas arbete i riksdagen som har placerats i säkerhetsklass för deltagande i riksdagens eller Riksdagsförvaltningens verksamhet.

Paragrafen är ny och utgör en kodifiering av den ordning som i dag gäller enligt överenskommelser som respektive partikansli har tecknat med Riksdagsförvaltningens säkerhetschef. Paragrafen innebär att det är Riksdagsförvaltningen som har ansvar för den slutliga bedömningen av säkerhetsprövningen när det gäller anställda vid partikanslierna som har placerats i säkerhetsklass för deltagande i riksdagens eller Riksdagsförvaltningens verksamhet. Med ”anställda vid sådana kanslier som avses i 3 kap. 6 § lagen (2016:1109) om stöd till partigrupperna för riksdagsledamöternas arbete i riksdagen” menas personer som har anställts antingen av ett partikansli eller av ett parti för att biträda riksdagens ledamöter.

Övervägandena finns i avsnitt 10.

103

2021/22:RS514 FÖRFATTNINGSKOMMENTAR

14.3 Förslag till lag om ändring i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning

1 kap. Inledande bestämmelser

4 § Artiklarna 33 och 34 i EU:s dataskyddsförordning tillämpas inte i fråga om personuppgiftsincidenter som ska rapporteras enligt säkerhetsskyddslagen (2018:585), anmälas enligt lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter, eller rapporteras eller anmälas enligt föreskrifter som har meddelats i anslutning till de lagarna.

Paragrafen innehåller undantag från 1 kap. 2 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning. Paragrafen kompletteras så att det framgår att artiklarna 33 och 34 i EU:s dataskyddsförordning inte heller tillämpas när det är fråga om personuppgiftsincidenter som ska anmälas enligt lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter eller föreskrifter som har meddelats i anslutning till den lagen. I dessa artiklar regleras anmälan av en personuppgiftsincident till tillsynsmyndigheten (för Sveriges del Integritetsskyddsmyndigheten) respektive information till den registrerade om en personuppgiftsincident.

Övervägandena finns i avsnitt 8.2.

104

2021/22:RS5

BILAGA 1

Utredningens lagförslag

Förslag till lag om ändring i lagen (2011:745) med instruktion för Riksdagsförvaltningen

Härigenom föreskrivs i fråga om lagen (2011:745) med instruktion för Riksdagsförvaltningen att det ska införas en ny paragraf, 11 a §, av följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
	11 a §
	En bestämmelse om styrelsens rätt
	att neka Säkerhetspolisen att göra en
	sådan granskning som avses i 21 §
	första stycket lagen (2019:109) om
	säkerhetsskydd i riksdagen och dess
	myndigheter samt att neka Säkerhets-
	polisen tillgång till uppgifter vid en
	sådan granskning finns i 21 § andra
	stycket nämnda lag.

Denna lag träder i kraft den 1 juli 2022.

105

2021/22:RS5

BILAGA 1 UTREDNINGENS LAGFÖRSLAG

Förslag till lag om ändring i säkerhetsskyddslagen (2018:585)

Härigenom föreskrivs i fråga om säkerhetsskyddslagen (2018:585) dels att 3 kap. 4 § ska ha följande lydelse,

dels att det ska införas en ny paragraf, 3 kap. 4 b §, av följande lydelse.

Nuvarande lydelseFöreslagen lydelse

Ansvar för säkerhetsprövningen

3 kap.

4 §1

erna i övrigt.
Bedömningen görs av den som be-	Bedömningen görs av den som be-
slutar om anställning eller annat del-	slutar om anställning eller annat del-
tagande i den säkerhetskänsliga verk-	tagande i den säkerhetskänsliga verk-
samheten, om inte annat följer av	samheten, om inte annat följer av
tredje stycket eller 4 a §.	tredje stycket, 4 a § eller 4 b §.

Om det finns anledning till det, ska en tidigare gjord bedömning av en persons lämplighet att delta i den säkerhetskänsliga verksamheten omprövas.

3 kap.

4 b §

Denna lag träder i kraft den 1 juli 2022.

1Senaste lydelse 2021:76.

106

Artiklarna 33 och 34 i EU:s dataskyddsförordning tillämpas inte i fråga om personuppgiftsincidenter som ska rapporteras enligt säkerhetsskyddslagen (2018:585), anmälas enligt lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter eller enligt föreskrifter som har meddelats i anslutning till de lagarna.

UTREDNINGENS LAGFÖRSLAG BILAGA 1

2021/22:RS5

Förslag till lag om ändring i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning

Härigenom föreskrivs att 1 kap. 4 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

1kap. 4 §1

Artiklarna 33 och 34 i EU:s dataskyddsförordning tillämpas inte i fråga om personuppgiftsincidenter som ska rapporteras enligt säkerhetsskyddslagen (2018:585) eller föreskrifter som har meddelats i anslutning till den lagen.

Denna lag träder i kraft den 1 juli 2022.

1Senaste lydelse 2018:1248.

107

2021/22:RS5

BILAGA 1 UTREDNINGENS LAGFÖRSLAG

Förslag till lag om ändring i lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter

Härigenom föreskrivs i fråga om lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter

dels att 3 § ska ha följande lydelse,

dels att det ska införas en ny paragraf, 3 a §, och närmast före den en rubrik av följande lydelse,

dels att 12 § ska ha följande lydelse,

dels att nuvarande 13 och 14 §§ ska betecknas 22 respektive 23 §§,

dels att rubrikerna närmast före 13 och 14 §§ ska sättas före nya 22 respektive 23 §§,

dels att det ska införas nio nya paragrafer, 13–21 §§, och närmast före 20 § och 21 § nya rubriker av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

3 §

Den som bedriver säkerhetskänslig verksamhet ska utreda behovet av säkerhetsskydd (säkerhetsskyddsanalys). Säkerhetsskyddsanalysen ska dokumenteras.

Verksamhetsutövaren är skyldig att skyndsamt anmäla säkerhetshotande händelser och verksamhet i den egna verksamheten till Säkerhetspolisen.

Säkerhetsskyddschef 3 a §

Vid Riksdagsförvaltningen, Riksbanken, Riksdagens ombudsmän och Riksrevisionen ska det finnas en säkerhetsskyddschef.

Säkerhetsskyddschefen ska leda och samordna säkerhetsskyddsarbetet samt granska att denna lag och de föreskrifter som har meddelats i

108

En myndighet som anges i 1 § och som avser att genomföra en upphandling, ingå ett avtal eller inleda en samverkan eller ett samarbete med en annan aktör, ska ingå ett säkerhetsskyddsavtal med aktören, om aktören genom förfarandet kan få tillgång till 1. säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller 2. annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Myndigheten ska även ingå ett säkerhetsskyddsavtal med en underleverantör som anlitas för att fullgöra den andra aktörens förpliktelse, om underleverantören genom sitt uppdrag kan få en sådan tillgång till den säkerhetskänsliga verksamheten som anges i första stycket. Ett säkerhetsskyddsavtal ska ingås innan motparten kan få tillgång till den säkerhetskänsliga verksamheten. 13 § Mellan myndigheter som anges i 1 § och mellan sådana myndigheter och andra statliga myndigheter gäller kravet på säkerhetsskyddsavtal enligt 12 § endast vid anskaffning av en vara, tjänst eller byggentreprenad.

UTREDNINGENS LAGFÖRSLAG BILAGA 1

2021/22:RS5

anslutning till lagen samt säkerhetsskyddslagen (2018:585) i tillämpliga delar följs. Säkerhetsskyddschefen ska också granska föreskrifternas ändamålsenlighet. Detta ansvar får inte delegeras.

Säkerhetsskyddschefen ska vara direkt underställd riksdagsdirektören, Riksbankens direktion, chefsjustitieombudsmannen respektive riksrevisorn.

12 §

1. det i upphandlingen förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller

2. upphandlingen i övrigt avser eller ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

Myndigheten ska kontrollera att leverantören följer säkerhetsskyddsavtalet.

109

2021/22:RS5

BILAGA 1 UTREDNINGENS LAGFÖRSLAG

Om det finns särskilda skäl får en myndighet som anges i 1 § i ett enskilt fall besluta om undantag från skyldigheten att ingå säkerhetsskyddsavtal.

14 §

Ett säkerhetsskyddsavtal ska innehålla de krav på motparten som behövs för att kraven på säkerhetsskydd enligt 3 § ska kunna tillgodoses.

15 §

Bestämmelserna i 3 kap. säkerhetsskyddslagen (2018:585) och föreskrifter som har meddelats i anslutning till de bestämmelserna får tilllämpas för säkerhetsprövning enligt ett säkerhetsskyddsavtal.

16 §

En myndighet som anges i 1 § ska kontrollera att motparten följer säkerhetsskyddsavtalet och revidera avtalet om det krävs på grund av ändrade förhållanden.

Om motparten inte följer säkerhetsskyddsavtalet ska myndigheten vidta de åtgärder som behövs för att tillgodose kraven på säkerhetsskydd.

110

UTREDNINGENS LAGFÖRSLAG BILAGA 1

2021/22:RS5

Skyldigheter inför förfaranden som kräver säkerhetsskyddsavtal

17 §

En myndighet som anges i 1 § som avser att genomföra ett förfarande som innebär ett krav på säkerhetsskyddsavtal enligt 12 § första stycket ska göra en särskild säkerhetsskyddsbedömning och lämplighetsprövning enligt 18 §. Myndigheten ska också samråda med Säkerhetspolisen enligt 19 §.

18§

Innan ett sådant förfarande som

avses i 12 § första stycket inleds ska en myndighet som anges i 1 § genom en särskild säkerhetsskyddsbedömning identifiera vilka säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som den andra aktören kan få tillgång till och som kräver säkerhetsskydd.

Med utgångspunkt i den särskilda säkerhetsskyddsbedömningen och övriga omständigheter ska myndigheten pröva om det planerade förfarandet är lämpligt från säkerhetsskyddssynpunkt.

Den särskilda säkerhetsskyddsbedömningen och lämplighetsprövningen ska dokumenteras.

Om lämplighetsprövningen leder till bedömningen att det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt, får det inte inledas.

19 §

Om lämplighetsprövningen enligt

18 § leder till bedömningen att det planerade förfarandet inte är olämpligt från säkerhetsskyddssynpunkt,

111

2021/22:RS5

BILAGA 1 UTREDNINGENS LAGFÖRSLAG

ska en myndighet som anges i 1 § innan den inleder förfarandet samråda med Säkerhetspolisen, om det planerade förfarandet innebär att den andra aktören kan få tillgång till

1. säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre, eller

2. annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

Tystnadsplikt 20 §

En anställd vid ett sådant kansli som avses i 3 kap. 6 § lagen (2016:1109) om stöd till partigrupperna för riksdagsledamöternas arbete i riksdagen får inte obehörigen röja eller utnyttja säkerhetsskyddsklassificerade uppgifter som han eller hon har fått del av vid deltagande i riksdagens eller Riksdagsförvaltningens säkerhetskänsliga verksamhet.

Granskning 21 §

Säkerhetspolisen ska, med de undantag som anges i andra stycket, granska att denna lag och de föreskrifter som har meddelats i anslutning till lagen samt säkerhetsskyddslagen (2018:585) i tillämpliga delar följs. Säkerhetspolisen ska också granska föreskrifternas ändamålsenlighet. Säkerhetspolisen får inte besluta om några åtgärder med anledning av granskningen.

Om det finns särskilda skäl får riksdagsstyrelsen, för riksdagens, talmannens eller en enskild riksdagsledamots del, helt eller delvis, neka Sä- kerhetspolisen att utföra en granskning enligt första stycket samt neka

112

UTREDNINGENS LAGFÖRSLAG BILAGA 1

2021/22:RS5

Säkerhetspolisen tillgång till uppgifter vid en granskning. Samma rätt gäller för en justitieombudsman, riks-

revisorn, riksrevisionsdirektören samt myndigheterna Riksdagsförvaltningen, Riksbanken, Riksdagens ombudsmän och Riksrevisionen.

De myndigheter som anges i 1 § ska årligen skriftligen redovisa vilka granskningsinsatser Säkerhetspolisen har gjort och hur förslag till åtgärder som Säkerhetspolisen har lämnat har tagits om hand. Riksdagsförvaltningens skrivelse ska innehålla även en redovisning av föreslagna åtgärder för riksdagen. Redovisningen ska lämnas till myndighetens ledning samt, för Riksbankens del, till finansutskottet och för övriga myndigheters del till konstitutionsutskottet.

1.Denna lag träder i kraft den 1 juli 2022.

2.Den upphävda 12 § gäller för säkerhetsskyddsavtal som har ingåtts före ikraftträdandet.

113

2021/22:RS5

BILAGA 2

Sammanfattning av utredningens förslag

Uppdraget

Den första delen rör frågan om det finns behov av ändringar i befintliga bestämmelser eller av ytterligare bestämmelser i lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter. Frågan består i sin tur av fyra delar, nämligen

•att utreda om det är möjligt att genom andra åtgärder än den tillsyn som regleras i säkerhetsskyddslagen (2018:585) åstadkomma ett motsvarande skydd för säkerhetsskyddsklassificerade uppgifter och säkerhetskänslig verksamhet i riksdagen och dess myndigheter

•att analysera behovet och konsekvenserna av en anmälnings- och rapporteringsskyldighet för riksdagen och dess myndigheter vid säkerhetshotande händelser samt överväga om en sådan ska införas

•att analysera behovet av ytterligare reglering för att förebygga att säkerhetsskyddsklassificerade uppgifter och säkerhetskänslig verksamhet inom riksdagen och dess myndigheter utsätts för risker i samband med utkontraktering samt

•att analysera behovet av en säkerhetsskyddschef hos riksdagen och dess myndigheter (dock inte nämndmyndigheterna under riksdagen) samt vid behov föreslå vilka uppgifter och befogenheter sådana säkerhetsskyddschefer ska ha och hur sådana uppgifter och befogenheter ska regleras.

Den andra delen utgörs av några frågor om partigruppernas kanslier, närmare bestämt att överväga om säkerhetsprövning och placering i säkerhetsklass av anställda vid partigruppernas kanslier bör regleras i lag eller om det även fortsättningsvis är lämpligare med en överenskommelse samt att analysera om och i vilken utsträckning anställda vid partigruppernas kanslier omfattas av 5 kap. 2 § första stycket säkerhetsskyddslagen. Utredaren ska också föreslå de ändringar som bedöms nödvändiga i lagen om säkerhetsskydd i riksdagen och dess myndigheter eller i riksdagsstyrelsens föreskrift (RFS 2019:1) om säkerhet och säkerhetsskydd i riksdagen, Riksdagsförvaltningen och partikanslierna för att säkerställa skyddet för säkerhetsskyddsklassificerade uppgifter och säkerhetskänslig verksamhet.

Den tredje delen rör tidigare riksdagsledamöters rätt till tillträde till riksdagens lokaler. Utredaren ska analysera tillämpningen av gällande reglering om

114

SAMMANFATTNING AV UTREDNINGENS FÖRSLAG BILAGA 2

2021/22:RS5

tillträde för tidigare riksdagsledamöter och utreda vad som gäller för tidigare ledamöters tillträde till parlamenten i jämförbara länder. Utredaren ska se över vilka skäl – utöver ledamotsuppdragets speciella karaktär – som kan finnas för tillträdesrätt till riksdagens lokaler för tidigare ledamöter och ta ställning till hur en sådan tillträdesrätt bör utformas. Utredaren ska lämna nödvändiga författningsförslag.

Förslag som rör behovet av ändringar i befintliga bestämmelser eller av ytterligare bestämmelser i lagen om säkerhetsskydd i riksdagen och dess myndigheter

Utgångspunkter

Säkerhetshoten mot Sverige har ökat och Säkerhetspolisen bedömer att de kommer att fortsätta öka de närmaste åren. Det är därför viktigt att i alla organisationer lyfta upp säkerhetsskyddets betydelse. Det gäller inte minst för riksdagen och dess myndigheter.

Genom den säkerhetsskyddslag med tillhörande förordning som trädde i kraft den 1 april 2019 får lagstiftaren anses ha lagt fast en lägstanivå för säkerhetsskyddet. Säkerhetsskyddslagen gäller dock bara till vissa delar för riksdagen och dess myndigheter. För dessa gäller i övrigt lagen om säkerhetsskydd i riksdagen och dess myndigheter.

Enligt vår mening måste utgångspunkten vara att det är den nivå som framgår av säkerhetsskyddslagen som ska gälla för hela statsförvaltningen och därmed även för riksdagen och dess myndigheter. Det innebär inte att bestämmelserna måste se exakt likadana ut för alla verksamheter. Exempelvis kan konstitutionella skäl göra att en annan konstruktion i vissa fall behöver väljas för riksdagen och dess myndigheter.

Säkerhetsskyddet bör säkerställas genom en utveckling av den interna och den externa granskningen

Tillsyn enligt säkerhetsskyddslagen kan sägas ge ett skydd genom att den synliggör eventuella brister på säkerhetsskyddsområdet. Redan i dag förekommer det hos några av de institutioner vi har att titta på en viss aktivitet som syftar till att upptäcka sådana brister. För att skapa ett skydd liknande det som tillsyn ger bör dock, enligt vår mening, den interna och den externa granskningen av hur säkerhetsskyddsbestämmelserna hos riksdagen och dess myndigheter följs utvecklas, och bestämmelser om den externa granskningen bör föras in i lagen om säkerhetsskydd i riksdagen och dess myndigheter. Granskningen bör innefatta att granska efterlevnaden av lagen om säkerhetsskydd i riksdagen och dess myndigheter och de interna föreskrifter som har meddelats i anslutning till lagen samt säkerhetsskyddslagen i tillämpliga delar. Eftersom riksdagen och dess myndigheter är självreglerande utöver de lagar som nämns ovan bör det även ingå en granskning av de interna föreskrifternas ändamålsenlighet.

115

2021/22:RS5	BILAGA 2 SAMMANFATTNING AV UTREDNINGENS FÖRSLAG
	Vid utformningen av en intern respektive extern granskning är de konstitu-
	tionella aspekterna av betydelse. För riksdagen, talmannen, en enskild riks-
	dagsledamot, en justitieombudsman (även en ställföreträdande ombudsman),
	riksrevisorn (även en tillförordnad riksrevisor) och riksrevisionsdirektören är
	självständigheten viktig. När det gäller Riksbanken kan dess självständighet
	närmast sägas handla om penningpolitiken.
	Enligt vår mening kan dock självständigheten inte tas till intäkt för att de
	aktuella institutionerna eller aktörerna aldrig kan granskas. Vi kan inte heller
	se att självständigheten i alla lägen utesluter en granskning initierad och utförd
	av en myndighet under regeringen. Styrande för hur granskningen kan och bör
	se ut måste i stället vara att den utformas på ett sådant sätt att det inte finns
	någon risk för att självständigheten för riksdagen, talmannen, en enskild riks-
	dagsledamot, en justitieombudsman (även en ställföreträdande ombudsman),
	riksrevisorn (även en tillförordnad riksrevisor), riksrevisionsdirektören eller
	Riksbankens ansvar för penningpolitiken kan komma att påverkas eller ifråga-
	sättas.
	Därför anser vi att ansvaret för den interna granskningen bör ligga på sä-
	kerhetsskyddschefen (se mer om den funktionen nedan) som till sin hjälp bör
	ha en särskild granskningsfunktion. När det gäller nämndmyndigheterna be-
	driver de, enligt deras egen utsago, ingen säkerhetskänslig verksamhet. De har
	heller inte någon säkerhetsskyddschef. Om någon nämnd i framtiden skulle
	komma att bedriva säkerhetskänslig verksamhet bör den dock kunna låta den
	interna granskningen utföras av någon annan myndighet under riksdagen.
	När det så gäller den externa granskningen anser vi att den bör utföras av
	Säkerhetspolisen, i nära dialog med den som granskas.
	För att slå vakt om självständigheten för riksdagen och de nämnda aktö-
	rerna samt Riksbankens ansvar för penningpolitiken bör, vid såväl den interna
	som den externa granskningen, säkerhetsskyddschefen respektive Säkerhets-
	polisen inte kunna besluta om några åtgärder med anledning av granskningen.
	I stället bör de enbart kunna komma med förslag till åtgärder. Som en yttersta
	garant för självständigheten bör det också finnas en form av säkerhetsventil.
	Den bör innebära att om det finns särskilda skäl så ska, för riksdagens, talman-
	nens eller en enskild riksdagsledamots del, riksdagsstyrelsen ha rätt att helt
	eller delvis neka säkerhetsskyddschefen respektive Säkerhetspolisen att utföra
	en granskning samt att neka dessa tillgång till uppgifter. Samma rätt bör gälla
	för en justitieombudsman (även en ställföreträdande ombudsman), riksrevi-
	sorn (även en tillförordnad riksrevisor), riksrevisionsdirektören samt myndig-
	heterna Riksdagsförvaltningen, Riksbanken, Riksdagens ombudsmän (JO)
	och Riksrevisionen. Med särskilda skäl avser vi t.ex. att granskningen riskerar
	att självständigheten för riksdagen, de nämnda aktörerna eller Riksbankens
	ansvar för penningpolitiken kan komma att påverkas eller ifrågasättas eller att
	det ur sekretessynpunkt inte bedöms lämpligt eller möjligt att låta säkerhets-
	skyddschefen eller Säkerhetspolisen ta del av vissa uppgifter.
	För att ytterligare inskärpa vikten av granskningen och för att ge en vägled-
	ning i vilka fall det kan finnas skäl att göra avsteg från de föreslagna åtgärderna

116

SAMMANFATTNING AV UTREDNINGENS FÖRSLAG BILAGA 2

2021/22:RS5

anser vi att det också bör finnas ett krav för riksdagens myndigheter att till respektive myndighetsledning årligen i en skrivelse redovisa vilka granskningsinsatser som säkerhetsskyddschefen respektive Säkerhetspolisen har gjort och hur de åtgärder som dessa har föreslagit har tagits om hand. När det gäller den externa granskningen bör skrivelsen för Riksdagsförvaltningens, JO:s, Riksrevisionens och nämndmyndigheternas del skickas även till konstitutionsutskottet och för Riksbankens del även till finansutskottet. Det är sedan upp till respektive utskott att eventuellt agera utifrån vad som framkommer i skrivelsen.

Det bör finnas en anmälningsskyldighet till Säkerhetspolisen vid säkerhetshotande händelser och verksamhet

Enligt 2 kap. 1 § tredje stycket säkerhetsskyddslagen är en verksamhetsutövare skyldig att anmäla och rapportera sådant som är av vikt för säkerhetsskyddet. Av 2 kap. 10 § säkerhetsskyddsförordningen följer en anmälningsskyldighet vid vissa säkerhetshotande händelser och verksamhet. I vissa andra bestämmelser används i stället begreppet rapportera.

Enligt vår mening utgör skyldigheten att anmäla respektive rapportera, oaktat vilket begrepp som används, en viktig beståndsdel i säkerhetsskyddet. Skyldigheten bidrar till att ge framför allt Säkerhetspolisen en överblick över och bredare kunskap om vilka skyddsvärden, hot och sårbarheter som finns. Det i sin tur gör att Säkerhetspolisen bättre kan stötta verksamhetsutövare med råd och stöd.

De nämnda bestämmelserna gäller dock inte för riksdagen och dess myndigheter. Vi anser att det därmed saknas en viktig pusselbit i säkerhetsskyddet, både för Sverige som land och för riksdagen och dess myndigheter. Mot den bakgrunden bör det i lagen om säkerhetsskydd i riksdagen och dess myndigheter införas en skyldighet att skyndsamt anmäla säkerhetshotande händelser och verksamhet i den egna verksamheten till Säkerhetspolisen. Bestämmelser om vad som ska anmälas – vi tänker oss sådana händelser som anges i 2 kap. 10 § säkerhetsskyddsförordningen som t.ex. att en säkerhetsskyddsklassificerad uppgift kan ha röjts– bör placeras i respektive institutions interna föreskrifter.

Denna anmälningsskyldighet bör enligt vår mening medföra undantag från artiklarna 33 och 34 i EU:s dataskyddsförordning. I artiklarna finns bestämmelser om rapportering till tillsynsmyndigheten (för Sveriges del Integritetsskyddsmyndigheten) av en personuppgiftsincident samt om information till den registrerade om en sådan incident. Av säkerhetsskyddskäl finns det dock i 1 kap. 4 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, förkortad dataskyddslagen, ett undantag som innebär att artiklarna inte ska tillämpas i fråga om incidenter som ska rapporteras enligt säkerhetsskyddslagen eller föreskrifter som har meddelats i anslutning till den lagen. Vi anser att säkerhetsskyddskäl kan göras gällande även för personuppgiftsincidenter som ska anmälas enligt de bestämmelser om anmälnings-

117

2021/22:RS5	BILAGA 2 SAMMANFATTNING AV UTREDNINGENS FÖRSLAG
	skyldighet i lagen om säkerhetsskydd i riksdagen och dess myndigheter eller
	föreskrifter som har meddelats i anslutning till den lagen som vi föreslår. Den
	nämnda bestämmelsen i dataskyddslagen bör därför kompletteras med ett så-
	dant undantag.

Kravet på säkerhetsskyddsavtal bör utvidgas och förtydligas och det behövs ytterligare åtgärder för att skydda säkerhetskänslig verksamhet som exponeras för utomstående

Regeringen föreslår i lagrådsremissen Ett starkare skydd för Sveriges säkerhet bl.a. utvidgade och förtydligade bestämmelser om säkerhetsskyddsavtal samt bestämmelser om utkontraktering och liknande förfaranden. Med tanke på den roll riksdagens myndigheter har anser vi att det finns ett behov av att i lagen om säkerhetsskydd i riksdagen och dess myndigheter föra in liknande bestämmelser även för riksdagens myndigheter. Sådana bestämmelser hjälper bl.a. till att hantera riskerna vid dylika förfaranden och stärker skyddet för säkerhetsskyddsklassificerade uppgifter och annan säkerhetskänslig verksamhet.

Vi föreslår därför att skyldigheten för riksdagens myndigheter att ingå säkerhetsskyddsavtal bör utvidgas så att den även gäller vid andra förfaranden än upphandlingar och andra anskaffningar. En myndighet under riksdagen som avser att genomföra en upphandling, ingå ett avtal eller inleda en samverkan eller ett samarbete med en annan aktör, bör vara skyldig att ingå ett säkerhetsskyddsavtal med aktören, om aktören genom förfarandet kan få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre eller annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Myndigheten bör även vara skyldig att ingå ett säkerhetsskyddsavtal med en underleverantör som anlitas för att fullgöra den andra aktörens förpliktelse, om underleverantören genom sitt uppdrag kan få en sådan tillgång till den säkerhetskänsliga verksamheten som nyss har beskrivits. Säkerhetsskyddsavtalet bör ingås innan motparten kan få tillgång till den säkerhetskänsliga verksamheten. Vidare bör det införas bestämmelser om vad ett säkerhetsskyddsavtal ska innehålla, att myndigheten ska revidera säkerhetsskyddsavtalet om det krävs på grund av ändrade förhållanden och att myndigheten, om motparten inte följer säkerhetsskyddsavtalet, ska vidta de åtgärder som behövs för att tillgodose kraven på säkerhetsskydd.

Från kravet på säkerhetsskyddsavtal bör det dock finnas vissa undantag. Mellan riksdagens myndigheter och mellan sådana myndigheter och andra statliga myndigheter bör kravet på säkerhetsskyddsavtal gälla endast vid anskaffning av en vara, tjänst eller byggentreprenad. Kravet på säkerhetsskyddsavtal bör inte heller gälla när Riksdagsförvaltningen inom ramen för sina huvuduppgifter tillhandahåller resurser och service för riksdagsorganens (däribland utskotten och myndigheterna under riksdagen) verksamhet. Eftersom det kan finnas även andra situationer där det inte framstår som rimligt eller nödvändigt med ett krav på säkerhetsskyddsavtal anser vi att en myndighet, i

118

SAMMANFATTNING AV UTREDNINGENS FÖRSLAG BILAGA 2

2021/22:RS5

ett enskilt fall, bör kunna besluta om undantag från skyldigheten att ingå ett sådant avtal.

Av säkerhetsskyddslagen framgår inte tydligt att ett säkerhetsskyddsavtal kan utgöra grund för krav på säkerhetsprövning för anställning och annat deltagande i motpartens verksamhet eller att det kan utgöra grund för beslut om placering i säkerhetsklass, registerkontroll och särskild personutredning. Vi anser därför att det bör förtydligas att bestämmelserna om säkerhetsprövning i säkerhetsskyddslagstiftningen får tillämpas för säkerhetsprövning enligt ett säkerhetsskyddsavtal.

Vår uppfattning är att de upphandlingar som riksdagens myndigheter gör redan i dag föregås av en noggrann planering, bl.a. i form av en bedömning av om det planerade förfarandet är lämpligt ur säkerhetsskyddssynpunkt. Det bör dock i lagen om säkerhetsskydd i riksdagen och dess myndigheter införas ett uttryckligt krav på att myndigheten, innan den inleder ett förfarande som kräver säkerhetsskyddsavtal, genom en särskild säkerhetsskyddsbedömning ska identifiera vilka säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som den andra aktören kan få tillgång till och som kräver säkerhetsskydd. Det bör också finnas ett krav att myndigheten, med utgångspunkt i den särskilda säkerhetsskyddsbedömningen och övriga omständigheter, ska göra en lämplighetsprövning av det planerade förfarandet och att den särskilda säkerhetsskyddsbedömningen och lämplighetsprövningen ska dokumenteras. Om lämplighetsprövningen leder till bedömningen att förfarandet är olämpligt från säkerhetsskyddssynpunkt bör förfarandet inte få inledas. Leder lämplighetsprövningen i stället till bedömningen att det planerade förfarandet inte är olämpligt från säkerhetsskyddssynpunkt bör myndigheten i vissa angivna fall vara skyldig att samråda med Säkerhetspolisen innan den inleder förfarandet.

Det finns behov av en säkerhetsskyddschef med ett övergripande ansvar för säkerhetsskyddsarbetet

De säkerhetsskyddsfrågor riksdagens myndigheter har att hantera blir alltmer komplexa. Bland annat mot bakgrund av det anser vi att det hos Riksdagsförvaltningen (då även i egenskap av ansvarig för riksdagens säkerhet), Riksbanken, JO och Riksrevisionen bör finnas en funktion i form av en säkerhetsskyddschef som har ett övergripande ansvar för säkerhetsskyddet. Vi har inte haft i uppdrag att utreda ett behov av en säkerhetsskyddschef hos nämndmyndigheterna. Det yttersta ansvaret för säkerhetsskyddet ska dock även fortsättningsvis den som är chef för verksamhetsutövaren ha.

Säkerhetsskyddschefens ansvar bör regleras i lagen om säkerhetsskydd i riksdagen och dess myndigheter. Denna chef bör ha ett ansvar för att leda myndighetens säkerhetsskyddsarbete och inom ramen för det dra upp huvudlinjerna för det arbetet. Vidare bör det ingå ett ansvar för att samordna myndighetens säkerhetsskyddsarbete och ett ansvar att granska att tillämpliga säkerhetsskyddsbestämmelser följs. I granskningsansvaret bör det också ligga att

119

2021/22:RS5	BILAGA 2 SAMMANFATTNING AV UTREDNINGENS FÖRSLAG
	granska hur ändamålsenliga de interna föreskrifterna är. Vad säkerhetsskydds-
	chefen i övrigt bör ha för uppgifter anser vi bör vara upp till respektive myn-
	dighet att avgöra och reglera i sina interna föreskrifter.
	För att inte förta tanken bakom att ha en funktion som har ett övergripande
	ansvar för säkerhetsskyddsfrågorna är det vår uppfattning att säkerhetsskydds-
	chefens ansvar inte bör kunna delegeras. Bland annat för att säkerhetsskydds-
	frågorna ska få hög prioritet anser vi också att säkerhetsskyddschefen bör vara
	direkt underställd riksdagsdirektören, Riksbankens direktion, chefsjustitieom-
	budsmannen respektive riksrevisorn. Också det bör regleras i lagen om säker-
	hetsskydd i riksdagen och dess myndigheter.
	Även vad gäller säkerhetsskyddschefen måste konstitutionella aspekter be-
	aktas. När det gäller ansvaret för att leda och samordna säkerhetsskyddsarbetet
	kan vi inte se att det finns någon konstitutionell problematik – ansvaret för
	säkerhetsskyddschefen i dessa delar innebär inte att denna chef kan tala om
	hur enskilda, som t.ex. en riksdagsledamot, ska göra eller inte göra. När det
	gäller den del av ansvaret som handlar om att granska att verksamheten bedrivs
	i enlighet med tillämpliga säkerhetsskyddsbestämmelser spelar dock konstitu-
	tionella aspekter roll. Detsamma gäller i viss mån även den del som rör gransk-
	ningen av hur ändamålsenliga de interna föreskrifterna är. För att garantera
	självständigheten bör säkerhetsskyddschefen i sin granskande roll bl.a. inte ha
	någon befogenhet att besluta om åtgärder, vilket vi har redogjort för i avsnittet
	som rör granskning.

Förslag som rör några frågor om partigruppernas kanslier

Den nuvarande ordningen i fråga om säkerhetsprövning av partikanslianställda bör behållas men regleras i lag

Anställda vid partigruppernas kanslier som ska arbeta i riksdagens och/eller Riksdagsförvaltningens säkerhetskänsliga verksamhet genomgår säkerhetsprövning och placeras i säkerhetsklass. Säkerhetsprövningen utförs med stöd av överenskommelser som har träffats mellan Riksdagsförvaltningens säkerhetschef och respektive partigrupps kansli, likalydande för samtliga partikanslier. I överenskommelserna delas ansvaret för säkerhetsprövningen upp så att partikansliet ska genomföra den del av säkerhetsprövningen som i den gällande säkerhetsskyddslagen kallas för grundutredning. Partikansliet ansvarar också för att besluta om en säkerhetsprövad (men inte registerkontrollerad) person ska godkännas. Riksdagsförvaltningen å sin sida ansvarar för att besluta om placering i säkerhetsklass och i ett sådant fall begära registerkontroll hos Säkerhetspolisen. Riksdagsförvaltningen ska också självständigt avgöra om en registerkontrollerad person ska få anlitas.

De partikanslier vi har varit i kontakt med verkar vara nöjda med ordningen och de tycker att samarbetet med Riksdagsförvaltningen fungerar bra. Vår uppfattning är att den nuvarande ansvarsuppdelningen bör bestå. Sedan över-

120

SAMMANFATTNING AV UTREDNINGENS FÖRSLAG BILAGA 2

2021/22:RS5

enskommelsen utarbetades har dock en ny säkerhetsskyddslag trätt i kraft. För att även fortsättningsvis möjliggöra den nuvarande uppdelningen bör det därför göras ett tillägg i 3 kap. säkerhetsskyddslagen så att det framgår att den slutliga bedömningen enligt 3 kap. 4 § säkerhetsskyddslagen görs av Riksdagsförvaltningen när det gäller partikanslianställda som har placerats i säkerhetsklass för deltagande i riksdagens eller Riksdagsförvaltningens verksamhet.

Bestämmelsen i 5 kap. 2 § första stycket säkerhetsskyddslagen är inte tillämplig på partikanslianställda varför det behövs en ny bestämmelse om tystnadsplikt

En av huvuduppgifterna för de partikanslianställda är att de ska biträda riksdagsledamöterna i deras arbete. Vi ser det därför som ofrånkomligt att säkerhetsskyddsklassificerade uppgifter i enstaka fall kan komma partikanslianställda till del. Det ska dock betonas att så bara får ske i de fall där det finns ett behov, något som kan sägas förekomma i ett ytterst litet antal fall. Att det måste finnas ett behov återspeglas också i 3 kap. 1 § riksdagsstyrelsens föreskrift (RFS 2019:1) om säkerhet och säkerhetsskydd i riksdagen, Riksdagsförvaltningen och partikanslierna.

Om partikanslianställda faktiskt har fått del av en säkerhetsskyddsklassificerad uppgift är det viktigt att uppgiften har ett skydd hos dessa. Partikanslianställda omfattas inte av tystnadsplikten enligt offentlighets- och sekretesslagen (2009:400). Även i 5 kap. 2 § säkerhetsskyddslagen finns en bestämmelse om tystnadsplikt. Enligt dess första stycke får den som på grund av anställning eller på annat sätt deltar eller har deltagit i säkerhetskänslig verksamhet inte obehörigen röja eller utnyttja säkerhetsskyddsklassificerade uppgifter. Vi anser dock att lydelsen av bestämmelsen och dess förarbeten medför att det råder osäkerhet om partikanslianställda omfattas av den när de deltar i riksdagens och/eller Riksdagsförvaltningens säkerhetskänsliga verksamhet. I det sammanhanget måste det också beaktas att brott mot tystnadsplikten är straffsanktionerat. Med hänsyn till legalitetsprincipens obestämdhetsförbud och analogiförbud anser vi därför att 5 kap. 2 § första stycket säkerhetsskyddslagen inte är tillämplig i de fall där partikanslianställda i sitt deltagande i riksdagens eller Riksdagsförvaltningens säkerhetskänsliga verksamhet får del av säkerhetsskyddsklassificerade uppgifter.

Därmed bör det, för att skydda säkerhetsskyddsklassificerade uppgifter som kommit partikanslianställda till del, införas en ny bestämmelse i lagen om säkerhetsskydd i riksdagen och dess myndigheter. Innebörden av den bör vara att en partikanslianställd inte obehörigen får röja eller utnyttja säkerhetsskyddsklassificerade uppgifter som han eller hon har fått del av vid deltagande i riksdagens eller Riksdagsförvaltningens säkerhetskänsliga verksamhet. Återigen vill vi betona att tanken med en reglering av tystnadsplikten för partikanslianställda inte är att utöka möjligheterna för dessa att få ta del av säkerhetsskyddsklassificerade uppgifter. Även fortsättningsvis måste utgångspunkten vara att de inte ska ta del av sådana uppgifter.

121

2021/22:RS5

BILAGA 2 SAMMANFATTNING AV UTREDNINGENS FÖRSLAG

Förslag som rör tidigare riksdagsledamöters rätt till tillträde till riksdagens lokaler

Behovet av tillträde till riksdagens lokaler för tidigare riksdagsledamöter kan tillgodoses genom de bestämmelser som finns för besökare i övrigt

Tidigare riksdagsledamöter har sedan gammalt en vidsträckt möjlighet till tillträde till riksdagens lokaler. Jämfört med den grupp som närmast ligger till hands att titta på, dvs. besökare som liksom tidigare riksdagsledamöter inte har någon anställning eller något uppdrag kopplat till riksdagens lokaler, kan en tidigare riksdagsledamot själv skaffa sig tillträde genom att begagna sig av ett passerkort som kan användas vid de bemannade entréerna till riksdagens lokaler under deras öppettider. En tidigare riksdagsledamot behöver inte ledsagas av en besöksmottagare eller liknande utan får röra sig fritt i de utrymmen inom riksdagens lokaler som Riksdagsförvaltningen har gett tillträde till.

I 7 § lagen om säkerhetsskydd i riksdagen och dess myndigheter finns bestämmelser om fysisk säkerhet. Sådan säkerhet handlar om att skydda mot att obehöriga får tillträde till platser där säkerhetskänslig verksamhet bedrivs och mot skadlig inverkan på säkerhetskänslig verksamhet. Centralt för tillträdesfrågan är alltså vem som kan sägas vara behörig respektive obehörig. Mot den bakgrunden bör, enligt vår mening, det avgörande för vilka möjligheter som bör finnas till tillträde till riksdagens lokaler vara vilket behov en person har av ett sådant tillträde. Givetvis måste bl.a. den grundlagsstadgade rätten att närvara vid kammarens offentliga sammanträden beaktas.

Såvitt vi kan se har det inte någon gång förts ett resonemang om just behovet av tillträde för tidigare riksdagsledamöter. I direktiven talas det i och för sig om ”riksdagsledamotsuppdragets speciella karaktär”. Vad som ligger i det argumentet är dock för oss oklart när det gäller tidigare riksdagsledamöter – en tidigare riksdagsledamot är ju inte längre riksdagsledamot. Varken de samtal som vi har haft med partikanslierna eller vad som har framkommit om ordningen i andra länder ger enligt vår mening stöd för att det behövs en sådan villkorslös tillträdesrätt som det gör nu. Vi har inte heller kunnat finna några andra skäl för den.

Vår bedömning är därför att behovet av tillträde till riksdagens lokaler för en tidigare riksdagsledamot inte ser annorlunda ut än att det kan tillgodoses genom de bestämmelser som finns för besökare i övrigt. Att under de förhållandena ha en villkorslös, mer generell tillträdesrätt för tidigare riksdagsledamöter än för besökare skulle till och med kunna sägas strida mot bestämmelsen i 1 kap. 9 § regeringsformen om allas likhet inför lagen och saklighet. De särskilda bestämmelser som finns i riksdagsstyrelsens föreskrift (RFS 2019:1) om säkerhet och säkerhetsskydd i riksdagen, Riksdagsförvaltningen och partikanslierna i fråga om tillträdesrätten för tidigare riksdagsledamöter bör därför utmönstras.

122

2021/22:RS5

BILAGA 3

Remissinstanser

1.Centerpartiet

2.Försvarets radioanstalt

3.Försvarsmakten

4.Integritetsskyddsmyndigheten

5.Kammarkollegiet

6.Kammarrätten i Stockholm

7.Kristdemokraterna

8.Liberalerna

9.Miljöpartiet de gröna

10.Moderata samlingspartiet

11.Myndigheten för samhällsskydd och beredskap

12.Nämnden för lön till riksdagens ombudsmän och riksrevisorerna

13.Nämnden för prövning av statsråds och vissa andra befattningshavares övergångsrestriktioner

14.Partibidragsnämnden

15.Polismyndigheten

16.Regeringskansliet

17.Riksbanken

18.Riksdagens ansvarsnämnd

19.Riksdagens arvodesnämnd

20.Riksdagens ombudsmän

21.Riksdagens överklagandenämnd

22.Riksrevisionen

23.Socialdemokraterna

24.Statsrådsarvodesnämnden

25.Svea hovrätt

26.Sverigedemokraterna

27.Säkerhets- och integritetsskyddsnämnden

28.Säkerhetspolisen

29.Valprövningsnämnden

30.Vänsterpartiet

Tryck: Riksdagstryckeriet, Stockholm 2021

123