10 Sikkerhetsgraderte anskaffelser
10.1 Innledning
Ved enkelte anskaffelser av varer til forvaltningen og ved innleide tjenester hvor sikkerhetsgradert materiale skal behandles, kan det være behov for å sikkerhetsklarere en eller flere personer i de aktuelle berørte firmaer e l. Nasjonal sikkerhetsmyndighet har pr januar 1997 registrert 26 virksomheter som utfører ett eller flere oppdrag gradert HEMMELIG og 109 virksomheter som utfører ett eller flere oppdrag gradert KONFIDENSIELT. Som eksempel kan nevnes Kongsberg Gruppen ASA, som for tiden utfører 15 sikkerhetsgraderte prosjekter for norske og utenlandske myndigheter.
Behovet for sikkerhetsgraderte anskaffelser i kommunal sektor er langt mindre, men enkelte tilfeller kan påregnes, f eks kommuner som engasjerer kartkonstruksjonsbedrifter for å utarbeide kart på grunnlag av sikkerhetsgraderte flyfotografier mv. På grunnlag av reglenes manglende gjennomslagskraft i dag i kommunal sektor, mangler en dessuten kjennskap til hvorvidt kommunene utleverer skjermingsverdig informasjon til bedrifter e l i forbindelse med beredskapsoppgaver.
Ved sikkerhetsgraderte anskaffelser skal den vanlige personkontroll- og klareringsprosedyre iverksettes. Dette innebærer at angjeldende personer hos leverandøren fyller ut standard egenopplysningsblankett som sendes anskaffelsesmyndigheten, eventuelt ansvarlig klareringsmyndighet hvis anskaffelsesmyndigheten ikke selv er klareringsmyndighet. Opplysningsblanketten forsegles av den enkelte i egen konvolutt, slik at arbeidsgiver ikke får tilgang til de opplysninger den enkelte har gitt om seg selv i personkontrolløyemed. Dersom angjeldende personer hos leverandøren allerede innehar gyldig sikkerhetsklarering for vedkommende sikkerhetsgrad, vil det ikke være nødvendig å reklarere disse.
Regler om sikkerhetstjenesten i industrien, som bl a hjemler såkalt firmaklarering (klarering av leverandøren som sådan) og klarering av personer i bedrifter mv som påtar seg sikkerhetsgraderte oppdrag for det offentlige, ble fastsatt av Forsvarsdepartementet i november 1989. Rettslig sett har hjemmelen for personkontrollen ifm sikkerhetsgraderte anskaffelser vært basert på samtykke-/avtalesynspunkter, samt det offentliges adgang til å sette sikkerhetstiltak som vilkår for leverandører som i egen forretningsmessig hensikt ønsker å påta seg oppdrag for det offentlige. Bestemmelsesverket omhandler de fleste sikkerhetsmessige forhold som både leverandør og anskaffelsesmyndighet må forholde seg til ved et sikkerhetsgradert oppdrag. Hovedreglene om sikkerhetsgraderte anskaffelser bør nå lovfestes.
Næringslivets Sikkerhetsorganisasjon (NSO) uttaler følgende om lovreguleringen av sikkerhetsgraderte anskaffelser:
«NSO har spesielt tatt for seg det som angår næringslivet i proposisjonen og lovutkastet. Det gjelder særlig pkt 10 Sikkerhetsgraderte anskaffelser i proposisjonen og kapittel 7 Sikkerhetsgraderte anskaffelser i lovutkastet. Her fremkommer det ingen vesentlige endringer på den praksis som er fulgt siden man fikk retningslinjer på dette området i begynnelsen av 1970-tallet. Så vidt vites har disse retningslinjene så langt fungert etter hensikt. Imidlertid er det positivt at dette nå reguleres i lovs form. NSO har følgelig ingen vesentlige merknader til det fremlagte utkast til odelstingsproposisjon og lov.»
10.2 Prosedyrer for gjennomføring av sikkerhetsgraderte anskaffelser
Oppdragets graderingsnivå (sikkerhetsgrad) utarbeides så tidlig som mulig i anskaffelsesprosessen. For ulike deler av oppdraget kan det være fastsatt ulikt graderingsnivå. Graderingsnivåene listes i en graderingsspesifikasjon. Dernest vurderes aktuelle leverandører. Eventuell godkjenning gis etter dagens regler av Nasjonal sikkerhetsmyndighet. Ugradert kontakt kan tas med leverandørene. Deretter fyller aktuelle leverandører ut nødvendige skjemaer. Anskaffelsesmyndigheten sender så anmodning om såkalt firmaklarering til Nasjonal sikkerhetsmyndighet. Med firmaklarering menes etter gjeldende direktiver en erklæring om at firmaet tilfredsstiller de krav som settes til mottak, oppbevaring og behandling av informasjon opp til og med den sikkerhetsgrad som klareringen gjelder for. Begrepet foreslås i loven endret til «leverandørklarering», idet bestemmelsene ikke bare vil gjelde for firmaer.
Inspeksjon foretas av anskaffelsesmyndigheten, og rapport sendes Nasjonal sikkerhetsmyndighet. Melding om at anbefalinger/pålegg er gjennomført, meddeles samme instans, som eventuelt treffer avgjørelse om leverandørklarering og meddeler dette til anskaffelsesmyndigheten. I tillegg foretas eventuelle personklareringer. Avgjørelser om sikkerhetsklareringer treffes av Nasjonal sikkerhetsmyndighet. Etter dette skal anskaffelsesmyndigheten inngå en såkalt sikkerhetsavtale med leverandøren. Sikkerhetsavtale med utenlandske leverandører kan bare inngås etter godkjenning av Nasjonal sikkerhetsmyndighet. Nasjonal sikkerhetsmyndighet kan bestemme at sikkerhetsavtale også skal inngås dersom leverandøren kan få tilgang til eller annen befatning med skjermingsverdig objekt eller det av andre grunner er nødvendig å sikkerhetsgradere anskaffelsen.
Sikkerhetsavtalen skal fastsette nærmere detaljer om ansvar og plikter etter bestemmelsene i og medhold av lovforslaget, herunder om
- A.
anskaffelsens sikkerhetsgrad, spesifisert for de enkelte deler av oppdraget,
- B.
praktisk gjennomføring av undersøkelser hos leverandøren og annen kontroll med denne for å vurdere sikkerhetstilstanden og kontrollere at leverandøren forholder seg i samsvar med sikkerhetsbestemmelsene og øvrige plikter etter lovforslagets regler, og
- C.
konsekvenser ved brudd på sikkerhetsavtalen.
Hovedreglene om inngåelse av sikkerhetsavtale, samt om hva en slik sikkerhetsavtale skal inneholde, foreslås lovfestet. Departementet vil understreke at det rettslig sett ikke lenger er behov for å inngå sikkerhetsavtale. Leverandørene er direkte omfattet av lovforslaget, jfr § 2 annet ledd. Årsaken til at det foreslås lovfestet et krav om å inngå sikkerhetsavtale, er at dette i tillegg vil skape notoritet for leverandøren, bidra til å fokusere på sikkerhetsaspektene ved oppdraget, samt at sikkerhetsavtalen mer i detalj kan operasjonalisere lovens bestemmelser i forhold til eventuelle særegenheter knyttet til den konkrete sikkerhetsgraderte anskaffelsen. Det presiseres imidlertid at selv om slik sikkerhetsavtale av en eller annen grunn ikke skulle være inngått, vil leverandøren likefullt være underlagt lovens alminnelige regler.
I sikkerhetsavtalen skal det som nevnt bl a nedfelles detaljer om hvem som skal føre kontroll og inspeksjoner hos leverandøren, og om gjennomføringen av kontrollen mv. Samferdselsdepartementet uttaler om dette spørsmålet:
«Hvis departementet blir ansett som anskaffelsesmyndighet finner vi det helt nødvendig at oppgaver som å stille krav til sikkerhetsmessige rutiner o.l. og tilsyn med overholdelse av dette, legges departementets underlagte faglige tilsynsorganer».
Forsvarsdepartementet er enig i at det ikke i alle tilfeller vil være nødvendig at det er samme myndighet som inngår sikkerhetsavtale og har det utøvende og detaljerte tilsynsansvaret. Nærmere regler om hvem som i tilfelle kan overlates tilsynsansvaret, bør reguleres i utfyllende bestemmelser til loven og eventuelt ytterligere spesifiseres i hvert enkelt tilfelle i sikkerhetsavtalen.
Inngåelse av sikkerhetsavtale forplikter ikke anskaffelsesmyndigheten eller Nasjonal sikkerhetsmyndighet økonomisk for dekning av utgifter eller krav leverandøren måtte ha for å oppfylle plikter etter lovforslaget, med mindre annet er uttrykkelig avtalt. Kostnader forbundet med slike sikkerhetstiltak, vil være kalkulert inn i prisen for varen eller tjenesten. For å unngå enhver tvil, foreslås dette lovfestet.
For de enkelte ansatte ved leverandørvirksomheten som kan få tilgang til skjermingsverdig informasjon som følge av oppdraget, skal disse være sikkerhetsklarert og autorisert etter de tilsvarende regler som gjelder for ansettelse mv, jfr pkt 9 ovenfor. Det er uttrykkelig fastsatt i gjeldende direktiver at dersom klarering av en enkelt ansatt/engasjert person hos leverandøren ikke kan gis, skal dette ikke danne grunnlag for oppsigelse eller andre forføyninger som gjør vedkommende økonomisk skadelidende. Dette er en forpliktelse som leverandøren påtar seg. Ved eventuelle brudd på dette, vil saken være et forhold mellom den ansatte og hans arbeidsgiver. Så langt departementet erfarer, har dette ikke representert noe problem i forbindelse med sikkerhetsgraderte offentlige anskaffelser. For eventuelle små leverandører som opererer i et meget snevert nisjemarked hvor sikkerhetsgraderte oppdrag er et hovedprodukt, kan det imidlertid få omfattende konsekvenser dersom en ansatt mister sikkerhetsklarering og vedkommende ikke kan omplasseres i virksomheten. Slike forhold bør således reguleres av de alminnelige arbeidsrettslige regler, herunder reglene om oppsigelse.
Når sikkerhetsavtale er inngått og personellet er klarert og autorisert, kan leverandøren begynne å motta skjermingsverdig/sikkerhetsgradert informasjon. Anskaffelsesmyndigheten er ansvarlig for å inndra alt gradert materiale fra leverandører som ikke ble engasjert i oppdraget. En skal videre minst en gang pr år inspisere den leverandør som fikk oppdraget. Ved oppdragets slutt skal all skjermingsverdig/sikkerhetsgradert informasjon inndras.
10.3 Leverandørklarering
En leverandør som blir involvert i et sikkerhetsgradert prosjekt, trenger nødvendigvis ikke alltid å gjennomgå leverandørklarering. For tilgang til informasjon sikkerhetsgradert BEGRENSET, er det tilstrekkelig med en såkalt forpliktelseserklæring fra virksomheten samt undertegnede taushetsløfter fra involvert personell. Før en leverandør kan få tilgang til skjermingsverdig informasjon sikkerhetsgradert KONFIDENSIELT eller høyere, eller dersom det av andre grunner anses nødvendig, skal imidlertid leverandøren etter gjeldende regler ha gyldig leverandørklarering for angitt sikkerhetsgrad. I utgangspunktet kreves leverandørklarering kun dersom leverandøren som sådan skal ha tilgang til skjermingsverdig informasjon ved fysisk oppbevaring av sikkerhetsgradert informasjon e l, ikke nødvendigvis dersom en enkelt ansatt bare skal ha innsyn i skjermingsverdig informasjon (i sistnevnte tilfeller er det normalt tilstrekkelig å sikkerhetsklarere den enkelte ansatte). Leverandørklareringen gjelder for det enkelte oppdrag. Nasjonal sikkerhetsmyndighet er klareringsmyndighet. Disse hovedregler foreslås lovfestet. I de utfyllende regler vil det bli gitt mer detaljerte bestemmelser om når leverandørklarering er påkrevet og i hvilke tilfeller det er tilstrekkelig å sikkerhetsklarere enkeltansatte hos leverandøren.
Leverandørklarering skal ikke gis dersom det foreligger rimelig tvil om leverandørens sikkerhetsmessige skikkethet. Ved avgjørelse om sikkerhetsmessig skikkethet skal det bare legges vekt på forhold som er relevante for å vurdere leverandørens evne og vilje til å utøve forebyggende sikkerhetstjeneste etter bestemmelsene i eller i medhold av lovforslaget. I vurderingen skal inngå personkontroll av personer i leverandørens styre og ledelse. Også disse reglene foreslås lovfestet. Det samme gjelder plikt for leverandøren om å gi alle opplysninger som antas å kunne være av betydning for klareringsspørsmålet, jfr tilsvarende plikt for den som skal sikkerhetsklareres.
En leverandør som innehar leverandørklarering, plikter uten ugrunnet opphold å orientere Nasjonal sikkerhetsmyndighet om endringer i styre eller ledelse, forandringer i eierstrukturen, flytting av lokaliteter og utstyr, åpning av gjeldsforhandling eller begjæring om konkurs og andre forhold som kan ha betydning for leverandørens sikkerhetsmessige skikkethet. Anses slike forhold å representere en sikkerhetsrisiko og risikoen ikke kan elimineres gjennom å utøve forebyggende sikkerhetstjeneste, kan Nasjonal sikkerhetsmyndighet inndra leverandørklareringen. Skjermingsverdig informasjon eller objekt kan ikke overføres til ny eier eller inngå i bobehandling ved gjeldsforhandling eller konkurs, med mindre Nasjonal sikkerhetsmyndighet har samtykket til dette, idet faren for kompromittering av informasjonen vil være åpenbar. Reglene om dette bør lovfestes.
For øvrig foreslås at reglene i lovens kapittel om personellsikkerhet, herunder reglene om begrunnelse og klage, gjelder tilsvarende så langt de passer for leverandørklarering, jfr pkt 9.8.3 ovenfor.