Enligt Dagens Nyheter har regeringskansliet under flera års tid outsourcat centrala delar av sitt eget IT-system utan säkerhetsskyddsavtal.
Tidningen har tagit del av handlingar där det framgår att bolagens personal kan komma att utföra arbeten både på distans och i regeringskansliets egna lokaler.
Men Ari Stenman, säkerhetschef på regeringskansilet, säger att bolagen inte har tillgång till regeringskansliets system på distans.
– Det innebär att den här leverantören inte har tillgång till vår IT-miljö. De har inga IT-konton, behörigheter och deras arbete sker under övervakning, säger han.
Dagens Nyheters reporter Kristoffer Örstadius har läst affärsavtalen och säger till SVT Nyheter att det är regeringskansliet egen personal som tar hand om nätverket men att de tar hjälp av andra leverantörer som gör underhållet och att de enligt avtalet får ge distansstöd.
Inget säkerhetsskyddsavtal
Företaget Cygate hjälper sedan första september i år regeringskansliet med underhåll av utrustning som är så känslig att den potentiellt skulle kunna utnyttjas för avlyssning eller sabotage, enligt Dagens Nyheter. Men det saknas ett säkerhetsskyddsavtal mellan regeringskansliet och leverantören.
Det trots att Cygates uppdrag är så känsligt att det inte genomfördes en annonserad offentlig upphandling. Samma sak gäller för bolaget Atea som mellan april 2012 och augusti 2017 hade motsvarande uppdrag på regeringskansliet.
– Regeringskansliet bedömer att vissa uppgifter i dessa avtal omfattas av sekretess för säkerhetsåtgärder och därför är säkerhetsskyddsavtal inte är aktuellt. Vår bedömning är att uppgifterna som leverantören får ta del av inte rör rikets säkerhet, säger Ari Stenman.
Säkerhetsskyddsavtal
Ett säkerhetsskyddsavtal ska bland annat reglera säkerhetsprövningar, tillsyn och tillträdesbegränsningar. En myndighet är skyldig att teckna ett sådant avtal om en leverantör kan ta del av uppgifter som omfattar sekretess med hänsyn till rikes säkerhet.