Alla leverantörer och underleverantörer kommer i kontakt med hemligstämplade uppgifter, eller deltar i verksamhet som har betydelse för rikets säkerhet, måste först teckna ett säkerhetsskyddsavtal.

– Om en myndighet anlitar en leverantör i en verksamhet som kan drabbas av brott mot rikets säkerhet, som till exempel spioneri, ska det enligt lag upprättas och ingås ett säkerhetsskyddsavtal. Dessutom ska leverantörens personal säkerhetsprövas och säkerhetsklassas. Där är lagen glasklar, säger advokat Conny Larsson på Gärde & Partners som är en av Sveriges ledande experter på IT-rätt och juridiken kring IT-säkerhet.

Enligt säkerhetsskyddslagen ska samma krav på säkerhetsskydd ställas på leverantörer och underleverantörer som i den egna verksamheten. Om en leverantör anlitas för att sköta myndighetens system eller informationshantering så är det i princip otänkbart att detta ska kunna göras utan tillgång till informationen.

– Då räcker det med att myndigheten låter personalen kliva in genom dörren för att säkerhetsskyddsavtal, säkerhetsprövning och säkerhetsklassning ska finnas, säger han.

Säpo gör registerkontroll av personal i belastningsregistret, misstankeregistret och polisens allmänna spaningsregister. En myndighet är skyldig att meddela Säkerhetspolisen när ett säkerhetsskyddsavtal har ingåtts eller upphört att gälla.