Ansökan lämnas/skickas till Rikspolisstyrelsen, Registratorskontoret, Box 12256, 102 26 Stockholm. Möjlighet till förlängning.

Polisens verksamhetsstöd Administrativa enheten Upphandlingssektionen ANSÖKNINGSINBJUDAN Diarienr (åberopas vid korrespondens) A069.352/2014 Datum 2014-02-18 Ärendebeteckning Upphandlande myndigheter Polismyndigheten i Hallands län & Åklagarmyndigheten. Ansvarig upphandlare Bo Stålhammar E-post bo.stalhammar@polisen.se Upphandlingsförfarande Selektivt förfarande 4 kap 1 lagen (2011:1029) om upphandling på försvars- och säkerhetsområdet (LUFS) med Säkerhetsskyddsavtal (SUA) nivå 1 Ansökan senast 2014-03-31 Ansökan lämnas/skickas till Rikspolisstyrelsen, Registratorskontoret, Box 12256, 102 26 Stockholm Ansökningslämnaren skall vara bunden till sin ansökan t o m 2014-09-20 Avtalsform Förvaltningsavtal Avtalstid 5 år 1+1 år Möjlighet till förlängning Ansökan avser Förvaltningsavtal avseende Svartmunken:4 i Halmstad. 1 INLEDNING Rikspolisstyrelsen (RPS) är central förvaltnings- och tillsynsmyndighet för Polisen. I Polisens organisation ingår förutom RPS, Statens kriminaltekniska laboratorium samt 21 polismyndigheter. RPS genomför rubricerad upphandling för Polismyndigheten i Hallands läns och Åklagarmyndighetens (Beställaren) räkning och inbjuder er att ansöka om att få lämna anbud. Efter avslutad upphandling ska Beställarens rättigheter och skyldigheter i kontraktet överföras till Källsprånget Kommanditbolag (969603-8745). Inbjudan sker genom annonsering i databasen http://www.mercell.com, Tender Electronic Daily (TED) samt genom publicering av denna ansökningsinbjudan jämte bilagor (Ansökningsinbjudan) på RPS upphandlarprofil: Postadress Box 12256 102 26 STOCKHOLM Besöksadress Polhemsgatan 30 STOCKHOLM Telefon 114 14 E-post rikspolisstyrelsen@rps.police.se Org.nr 202100-0076 Hemsida www.polisen.se Telefax 08-401 97 15 v4.5.16_1

http://www.polisen.se/sv/aktuellt/aktuella-upphandlingar Anbudssökande är själv skyldig att kontrollera att fullständig Ansökningsinbjudan erhållits. Ansökningsförfarandets omfattning och de krav som ställs på anbudssökande framgår av denna Ansökningsinbjudan med bilagor. Om behov av klargörande uppstår önskar RPS erhålla eventuella frågor skriftligen, per e-post ställda till ansvarig upphandlare: Bo Stålhammar E-post: bo.stalhammar@polisen.se Sista dag att inkomma med frågor är 2014-03-19. Sista dag RPS lämnar svar på inkomna frågor är 2014-03-25. Endast skriftliga svar från RPS ska anses utgöra del av Ansökningsinbjudan. Alla som ansöker om att få lämna anbud kommer att delges samtliga inkomna frågor och avgivna svar. Detta sker genom att frågor och svar löpande publiceras på RPS upphandlarprofil och det är anbudssökandes skyldighet att hålla sig uppdaterad i upphandlingen genom att frekvent gå in och se vad som där publicerats i upphandlingen. 2 INFORMATION 2.1 Omfattning Upphandlad Entreprenör (E) ska svara för samtliga drifts- och underhållsåtgärder (inklusive utbyten) och kostnaden härför samt i övrigt vidta och bekosta övriga åtgärder avseende Fastigheten som det åligger Källsprånget Kommanditbolag (969603-8745) (HV) att åtgärda och hantera i egenskap av fastighetsägare och hyresvärd i enlighet med gränsdragningslistan i hyresavtalen. E ska även hantera frågor i anledning av utförda entreprenader på Fastigheten genom att bl.a. delta på besiktningar, informera HV om det finns anledning att göra några garantianspråk eller andra anspråk eller åtgärder i anledning av utförda entreprenader på Fastigheten. Fastigheten har för närvarande två (2) hyresgäster, Polismyndigheten i Hallands län samt Åklagarkammaren i Halmstad. Fastigheten är ett skyddsobjekt. 2.2 Förutsättningar för upphandlingen Ingen som ansöker om att få lämna anbud kommer att få delta i upphandlingens steg 2 om inte ett Säkerhetsskyddsavtal (nivå 1) vid säkerhetsskyddad upphandling SUA, (se bilaga 2) tecknats mellan parterna, företagets förvaringsmöjligheter m m godkänts samt berörda personer blivit godkända i säkerhetsprövning. 2.3 Personuppgiftslagen (PUL) I enlighet med personuppgiftslagen (SFS 1998:204) lämnas här information om att samtliga personuppgifter som begärs in i denna upphandling endast kommer att användas i syfte att kunna vidimera i anbud angivna kravuppfyllelser. Uppgifterna blir efter avslutad upphandling att anses som allmän handling såvida inte 7.9 nedan eller säkerhetsskyddslagen (SFS 1996:627) kan bli tillämplig. Sida 2(10) Ansökningsinbjudan

Det ankommer på anbudssökande att informera samt inhämta godkännande från berörda personer om detta förfarande. 2.4 Avtalstid Avtalet kommer att gälla i fem (5) år. Beställaren/HV äger rätt men ej skyldighet att förlänga avtalet upp till två (2) år med ett (1) år i sänder. 3 AVTAL Beställaren/HV har för avsikt att teckna avtal med en (1) entreprenör. 4 SELEKTIVT FÖRFARANDE 4.1 Antagning Om möjligt kommer minst tre (3) anbudsansökningar som uppfyller samtliga skall-krav i denna ansökningsinbjudan att få vara med och lämna anbud i steg 2. Beställaren förbehåller sig rätten att gå vidare i upphandlingen även om färre än tre (3) kvalificerar sig. 4.2 Anbudshantering De anbudssökande som blir godkända enligt punkten 5 Krav på anbudssökanden kommer preliminärt under april månad 2014 att erhålla ett komplett förfrågningsunderlag. Tiden för lämnande av anbud kommer att vara minst 42 arbetsdagar. Förfrågningsunderlag kommer att kunna avhämtas hos RPS (i Stockholm) eller hos Polismyndigheten i Hallands län (Halmstad) av i ärendet SUA-godkänd person. Tilldelningsbeslut beräknas att kunna skickas ut i juni 2014. Samtliga angivna tider är uppskattade och RPS förbehåller sig rätten att justera tiderna. 5 KRAV PÅ ANBUDSSÖKANDEN De krav som ställs på den anbudssökande och dess eventuella underentreprenörer (UE) framgår nedan. Samtliga krav som ställs nedan gäller såväl anbudssökande som UE förutom punkterna 5.1, 5.4 och 5.5 som endast gäller för anbudssökande. 5.1 Företagsuppgifter Anbudssökanden skall fylla i ansökningsformulär (bilaga 1) och foga till ansökan. 5.2 Uteslutningsgrunder Anbudssökanden skall vara fri från hinder för deltagande enligt 11 kap. 1-2 LUFS och lämna fullständiga och korrekta uppgifter i anbudsansökan samt ej utelämna information av betydelse för selekteringsförfarandet. Anbudssökanden skall intyga att kravet enligt ovan är uppfyllt genom att underteckna (bilaga1) och foga den till ansökan. I det fall anbudssökande avser anlita UE skall av denne behörig person underteckna bilaga 5 Sanningsförsäkran underentreprenör och anbudssökande skall sedan bifoga den i sin ansökan. I det fall flera UE anlitas får anbudsökare mångfaldiga bilaga 5. Till UE räknas även bolag som ingår i anbudssökandes koncern eller liknande och som har ett annat organisationsnummer än anbudssökande. Sida 3(10) Ansökningsinbjudan

Abudssökande kommer i steg 2 av upphandlingen ges möjlighet att komplettera med fler UE om så behövs. Detta då det i steg 1 kan vara svårt att identifiera vilka UE man kan komma att behöva eftersom man i steg 1 ej får fullständig information om uppdraget. 5.3 Register-/tillståndskontroll Anbudssökande och eventuella UE skall uppfylla i Sverige eller i hemlandet lagenligt ställda krav avseende registrerings-, skatte- och avgiftsskyldigheter. RPS kommer via Skatteverket och Kronofogdemyndigheten kontrollera detta för svensk anbudssökande/ue. Utländsk anbudssökande/ue skall bifoga handling/-ar med motsvarande information som Skatteverkets Blankett SKV 4820 utfärdade av behörig officiell myndighet i hemlandet. Handling/-arna får ej vara äldre än tre (3) månader från den sista dagen att inkomma med anbudsansökan. I det fall anbudssökanden och eventuell UE är skyldig att vara registrerad i aktiebolags- eller handelsregister eller motsvarande register som förs i det land där anbudssökandens verksamhet är etablerad skall anbudssökanden/ue vara registrerad. Svensk anbudssökande skall intyga detta genom att till anbudet bifoga en kopia av registreringsbevis utfärdat av Bolagsverket (även för eventuell svensk UE). Utländsk anbudssökande/ue kan visa detta genom att bifoga anbudsansökan intyg med motsvarande uppgifter eller om sådana intyg inte kan erhållas i det land i vilken anbudssökanden/ue har sin verksamhet genom att avge en utsaga på heder och samvete. Handlingar enligt denna punkt får ej vara äldre än tre (3) månader räknat från den sista dagen att inkomma med anbudsansökan. 5.4 Ekonomisk ställning 5.4.1 Kapacitet Anbudsökanden skall ha en sådan ekonomisk kapacitet att han kan upprätthålla ett långsiktigt avtal med Beställaren/HV. Anbudssökanden skall styrka uppfyllelse av kravet genom att bifoga anbudsansökan ett utdrag från affärs- och kreditupplysningsföretaget UC AB (som visar att anbudssökanden har erhållit riskklass 3 eller högre, beräknat på värden redovisade vid utgången av det senast registrerade och avslutade räkenskapsåret) eller utdrag från likvärdigt affärs- och kreditupplysningsföretag (som visar att anbudssökanden har erhållit motsvarande riskklass). I det fall anbudssökanden har godtagbara skäl för att inte inkomma med efterfrågade handlingar eller om anbudssökandens erhållna riskklass är lägre än 3 eller motsvarande skall anbudssökanden istället visa sin ekonomiska kapacitet genom att bifoga antingen: a) en moderbolagsgaranti eller likvärdig garanti, utfärdad av anbudssökandens moderbolag eller annan garant som uppfyller kravet i första stycket i denna punkt, i vilken anbudssökandens åtaganden enligt avtalet garanteras som för eget åtagande; eller b) en redovisning av anbudssökandens revisor, eller annan fysisk eller juridisk person med insyn i anbudssökandens ekonomi, som visar att anbudssökanden kan upprätthålla ett långsiktigt avtal. Sida 4(10) Ansökningsinbjudan

c) årsredovisningar från de två (2) senaste och avslutade räkenskapsåren av vilka det framgår soliditeten varit 20% eller högre och att kassalikviditeten varit 1 eller högre Begärda handlingar i denna punkt får ej vara äldre än tre (3) månader från den sista dagen att inkomma med anbudsansökan (gäller ej eventuella årsredovisingar). RPS kommer att genomföra en individuell prövning av varje anbudssökandes redovisade ekonomiska kapacitet. 5.4.2 Omsättning Anbudssökanden skall under de två (2) senast föregående och avslutade räkenskapsåren haft en genomsnittlig nettoomsättning om minst 10 miljoner kronor (SEK). Detta skall styrkas genom att till ansökan bifoga årsredovisningar innefattande efterfrågade uppgifter. 5.5 Teknisk och yrkesmässig kapacitet 5.5.1 Tidigare åtaganden Anbudssökande skall inge två (2) Referensblad, BILAGA 4, som styrker att anbudssökande har utfört två (2) uppdrag under de senaste fem (5) åren som till omfattning och utförande liknar det som efterfrågas samt att dessa har utförts på ett tillfredsställande sätt. För att uppfylla kravet om att uppdragen har utförts på ett tillfredställande sätt skall snittbetyget för vardera referensblad vara tre (3) poäng eller högre. Referensbladen skall innehålla samtliga efterfrågade uppgifter. Anbudssökande skall själv ombesörja för att referenternas omdömen framgår av formuläret. RPS kan komma att kontakta angivna referenspersoner för att verifiera lämnade uppgifter. 5.5.2 Kvalitetssäkring För att kunna säkerställa kvaliteten på avtalets genomförande krävs bland annat att anbudssökande skall arbeta efter ett kvalitetssystem, antingen i form av en ISO9000- certifiering eller i form av ett eget dokumenterat kvalitetssystem. Anbudssökande skall styrka att kravet uppfylls genom att bifoga anbudet antingen intyg om certifiering eller en redovisning av den egna kvalitetssäkringen av verksamheten. Minst följande skall då framgå: a) kvalitetspolicy b) allmän beskrivning av kvalitetsmål c) allmän beskrivning av kvalitetssäkring. 5.5.3 Miljöskyddsåtgärder För att kunna säkerställa att miljöarbetet i avtalet genomförs på ett effektivt och rationellt sätt krävs bland annat att anbudssökande skall arbeta efter ett miljöledningssystem, antingen i form av en ISO14001-certifiering eller i form av ett eget dokumenterat miljöledningssystem. Sida 5(10) Ansökningsinbjudan

Anbudssökande skall styrka att kravet uppfylls genom att bifoga anbudet antingen intyg om certifiering eller en redovisning av det egna miljöledningssystemet för verksamheten. Minst följande skall framgå: a) miljöpolicy b) allmän beskrivning av miljömål c) allmän beskrivning av miljösäkring. 6 SELEKTERINGSFÖRFARANDE Endast de krav som ställts i Ansökningsinbjudan med bilagor kommer att kontrolleras. Ansökningsinbjudan med bilagor innehåller ett antal skall-krav. En förutsättning för att ansökan skall kunna godkännas är att samtliga skall-krav är uppfyllda. RPS kommer att pröva samtliga inkomna ansökningar i tre (3) på varandra följande steg enligt nedan: 6.1 Uteslutning och kvalificering Vid kvalificeringen sker en prövning om anbudssökande uppfyller de ställda kvalifikationskraven i punkten 5 Krav på anbudssökande samt om ansökan är korrekt inlämnad och innehåller all den dokumentation och de uppgifter som infordrats. De anbudsgivare som uppfyller kvalifikationskraven och vars ansökan är korrekt inlämnad har kvalificerat sig för nästa steg (6.2). 6.2 Selektering Urval Här kontrolleras att ansökan uppfyller övriga i Ansökningsinbjudan med bilagor ställda skallkrav. Minst tre (3) ansökningar som även uppfyllt dessa skall-krav kommer att få möjlighet att lämna anbud om även kraven enligt SUA (6.3) uppfylls. Beställaren förbehåller sig rätten att gå vidare i upphandlingen även om färre än tre (3) kvalificerar sig. 6.3 Säkerhetsskyddsavtal och registerkontroll De anbudssökande som uppfyllt kraven i kapitel 5.1 "Förutsättning, steg 1" och 5.2 "Förutsättning, steg 2" kan komma att antas som anbudsgivare och bjudas in till anbudsgivning. Dessa kommer då att erhålla ett förfrågningsunderlag som innehåller hemliga uppgifter med hänsyn till rikets säkerhet och/eller skyddet mot terrorism. En förutsättning för att anbudssökanden ska kunna bli antagen som anbudsgivare och erhålla förfrågningsunderlaget är att anbudssökanden har tecknat ett säkerhetsskyddsavtal (SUAavtal) med Beställaren, se bilaga 2 Säkerhetsskyddsavtal (nivå 1)" och företagets lokaler och förvaringsmöjligheter m m godkänts av Beställaren samt att en godkänd säkerhetsprövning och registerkontroll genomförts. Anbudssökanden skall acceptera samtliga säkerhetsskyddsvillkor utan reservationer, ändringar eller tillägg. Acceptans av säkerhetsskyddsvillkoren skall bekräftas genom att bifoga anbudsansökan bilaga 1 Ansökningsformulär-Svartmunken 4 undertecknad av behörig företrädare för anbudssökanden. De anbudssökandena som blir aktuella kommer att bli kontaktade för ett Sida 6(10) Ansökningsinbjudan

företagsbesök. Vid detta besök kommer Beställaren att inspektera de lokaler och den utrustning som anbudssökanden avser använda för att förvara och hantera handlingarna. Anbudssökanden kommer att beredas möjlighet att på egen bekostnad anpassa sina lokaler och sin utrustning så att de uppfyller Beställarens krav för att få kvarstå som anbudssökanden. Vid detta möte ska anbudssökandes säkerhetsskyddschef/säkerhetsskyddsansvarige vara närvarande. Säkerhetsskyddschefen/säkerhetsskyddsansvarige skall namnges i ansökan. Till detta möte bör också en lista med namn och personnummer på företagets verkställande direktör samt de personer som initialt kommer att arbeta med de hemliga handlingarna tas fram och överlämnas/översändas till Beställaren. Om Beställaren inte inom rimlig tid (två veckor från begäran om detta) bereds möjlighet till sådant möte kan det hända att anbudssökanden inte kommer att godkännas som anbudsgivare. Beställarens krav på anbudssökande enligt stycke tre ovan (avser SUA-nivå 1) är men inte begränsade till att: det skall finnas ett säkerhetsskåp enligt SS3492 för förvaring av hemliga handlingar ingående i anbudsgivningen. Tillgång till säkerhetsskåpet får endast de som gjorts behöriga till att få del av förfrågningsunderlaget ha, det/de utrymmen där handlingarna hanteras skall ha individuell låsning och endast behöriga för anbudsräkningen får ha tillgång till nyckel/kod för komma in i utrymmet, det skall finnas upprättade rutiner för att säkerställa att utrymmet låses vid kortare frånvaro (om skyddsvärda handlingarna ligger framme) t ex. vid toalettbesök, kortare kafferast med uppsyn över rummet etc. Vid längre frånvaro, t ex. lunch skall handlingarna låsas in i säkerhetsskåpet. Handlingar som hanteras digitalt skall hanteras i en PC som ej är kopplad till ett nätverk (standalone med löstagbar hårddisk), det skall finnas upprättad rutin för att PC:n skall låsas in i säkerhetsskåpet när den inte används (används krypterat USB-minne eller löstagbar hårddisk räcker det att dessa lagringsmedia låses in i säkerhetsskåpet), det skall finnas upprättade rutiner som föreskriver att inga hemliga handlingar får skickas med E-post mellan behöriga personer, krav kan komma att ställas på att förvaringsutrymmen, rum och/eller säkerhetsskåp, ska skyddas med ett inbrottslarm och ett passerkontrollsystem. Anbudsgivaren ska ha egen rådighet över larm- och passersystemet. Krav kan ställas på att larmet överförs via skyddad och övervakad ledning till en bevakningscentral med utryckningsverksamhet. Då Beställaren i förväg ej har kännedom om hur tilltänkta lokaler ser ut kan det efter företagsbesöket på anbudssökandens egen bekostnad bli aktuellt att vidta andra åtgärder av byggnads- eller säkerhetsskyddsteknisk karaktär beroende på fastighetens placering, berörda lokalers placering i fastigheten samt annan hyresgäst innan anbudssökanden kan anses vara kvalificerad att deltaga i steg 2 i upphandlingen. Sida 7(10) Ansökningsinbjudan

6.3.1 Säkerhetsskyddsavtal och registerkontroll i fortsatt anbudsgivning och kommande avrop. Samtliga UE som anbudssökande vill anlita i fortsatt anbudsgivning och i kommande avtalsförhållande ska teckna egna säkerhetsskyddsavtal med Beställaren. Säkerhetsprövning och registerkontroller kommer att utföras. Företag och personer som ej blir godkända efter sådan kontroll ska ej kunna få tillgång till hemliga handlingar rörande anbudsförfarandet eller ramavtal. Säkerhetsskyddsavtal; 1. Nivå 1 är för de företag som kommer att hantera och förvara hemlig handling i sina egna lokaler godkända av Beställaren. 2. Nivå 2 är för de företag som kommer att hantera hemlig handling hos Beställaren och/eller i annans av Beställaren godkänd lokal. 3. Nivå 3 är för de företag som inte kommer att hantera hemlig handling men som på grund av sin närvaro på platsen kan komma att få ta del av hemlig uppgift. Beroende på UE:s åtagande är något av ovanstående tre säkerhetsskyddsavtal tillämpliga för tecknande mellan underentreprenören och Beställaren. Beställaren bedömer nivån på SUA-avtalet utifrån underentreprenörens åtagande. 7 ADMINISTRATIVA BESTÄMMELSER 7.1 Upphandlingsförfarande Vid denna upphandling tillämpas selektivt förfarande, vilket innebär att RPS bjuder in (om möjligt) minst tre (3) entreprenörer som har uppfyllt samtliga skall-krav att lämna anbud. 7.2 Anbudsansökans uppställning Anbudsansökan bör följa dispositionen i denna Ansökningsinbjudan. 7.3 Anbudsansökans språk All dokumentation i detta upphandlingsärende inklusive all korrespondens skall vara på svenska. 7.4 Anbudsansökans form Anbudsansökan, inklusive bilagor, skall lämnas skriftligen i en (1) originalhandling. Det är inte möjligt att lämna anbudsansökan via telefax eller e-post. 7.5 Anbudsansökans försändelse Anbudsansökan skall lämnas i en sluten neutral försändelse försedd med diarienummer A069.352/2014 samt texten ANBUDSANSÖKAN- Svartmunken 4 som bekräftelse på att försändelsen innehåller ansökan om att lämna anbud. Sida 8(10) Ansökningsinbjudan

7.6 Anbudsansökans avlämnande Anbudsansökan skall vara RPS tillhanda senast 2014-03-31. Anbudssökanden svarar för att anbudsansökan är inkommen i rätt tid. För sent inkomna anbudsansökningar kommer inte att beaktas. Anbudsansökan skickas till: Rikspolisstyrelsen Registratorskontoret Box 12256 102 26 Stockholm Anbudsansökan kan även skickas med bud eller avlämnas personligen till RPS på Polhemsgatan 30 i Stockholm vardagar 06-20. 7.7 Ansökans giltighetstid Anbudssökande skall vara bunden av sin ansökan till och med 2014-09-20. Acceptans av ansökans giltighetstid bekräftas i ansökan genom undertecknande av bilaga 1. 7.8 Kostnader i samband med anbudsansökan Anbudssökanden äger inte rätt till ersättning för anbudsansökan eller för kostnader i samband med anbudsansökan. 7.9 Offentlighetsprincipen Som myndighet omfattas Beställaren av offentlighetsprincipen. Offentlighetsprincipen innebär att allmänheten har rätt att ta del av till myndigheten inkomna handlingar. För att en uppgift i en sådan handling ska kunna hemlighållas måste stöd finnas i offentlighets och sekretesslagen (2009:400). Efter det att en upphandling avslutats är inkomna anbud som huvudregel offentliga. Av 31 kap. 16 offentlighets och sekretesslagen följer dock att sekretess gäller för uppgift i anbud som rör anbudssökandes affärs- eller driftsförhållanden, om det av särskild anledning kan antas att anbudssökande lider skada om uppgiften röjs. Det ankommer på Beställaren att pröva en begäran om att få ta del av anbud. För att underlätta eventuell sekretessprövning ombeds anbudssökande att i anbudet skriftligen: a) begära att viss uppgift skall hållas hemlig; b) ange vilken/-a uppgift/-er som skall gälla som skyddsvärda ; c) ange vilken skada anbudssökande skulle lida om uppgiften röjdes. En sekretessprövning kan endast ske i samband med en begäran från allmänheten om att få ta del av anbud. Ett beslut om att sekretessbelägga anbud eller vissa uppgifter i ett anbud kan överklagas och prövas i domstol. Bo Stålhammar Sida 9(10) Ansökningsinbjudan

Bilagor 1. Bilaga 1, Ansökningsformulär-Svartmunken 4. 2. Bilaga 2, Säkerhetsskyddsavtal (nivå 1) vid säkerhetsskyddad upphandling, med bilaga 1 (samma villkor gäller för Polismyndigheten och Åklagarmyndigheten) 3. Bilaga 3, Förslag till säkerhetsskyddsinstruktion 4. Bilaga 4, Referensblad 5. Bilaga 5 Sanningsförsäkran underentreprenör 6. Bilaga 6 Säkerhetsskyddsavtal nivå 2 och 3. Sida 10(10) Ansökningsinbjudan

A069.352/2014 1 BILAGA 2 SÄKERHETSSKYDDSAVTAL (nivå 1) mellan Polismyndigheten/Åklagarmyndigheten ange ort/län, (xxxxxx-xxxx), ange adress som företräder staten, nedan kallad Myndigheten och Företaget AB (org.nr), adress, postadress, nedan kallat Företaget träffar följande avtal om säkerhetsskydd 1 Bakgrund Myndigheten och företaget avser att ingå ett avtal avseende att företaget ska få del av förfrågningsunderlag A069.352/2014 angående drift- och underhåll av Svartmunken 4 i Halmstad. Uppdraget innebär att Företaget i sina egna lokaler kommer att hantera och förvara hemliga uppgifter. Säkerhetsskyddet ska förebygga; att hemliga uppgifter obehörigen röjs, ändras, görs otillgängliga för behöriga eller förstörs (informationssäkerhet) att obehöriga får tillgång till hemliga uppgifter eller verksamhet som har betydelse för rikets säkerhet eller till skydd mot terrorism (tillträdesbegränsning), och att personer som inte är pålitliga från säkerhetssynpunkt deltar i verksamhet som har betydelse för rikets säkerhet eller till skydd mot terrorism (säkerhetsprövning) Andra säkerhetsskyddsåtgärder är utbildning och kontroll. Detta avtal avser säkerhetsskydd för uppgifter som på Myndigheten omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400) och som rör rikets säkerhet och skyddet mot terrorism. En sådan uppgift benämns fortsättningsvis hemlig uppgift. En hemlig uppgift kan framgå av en handling, ett visst förhållande, en anläggning eller föremål av olika slag. 2 Avtalets omfattning, Detta säkerhetsskyddsavtal tillsammans med Företagets säkerhetsskyddsinstruktion reglerar vilka säkerhetsskyddsåtgärder som Företaget ska vidta i samband med Uppdraget. De ekonomiska villkoren avseende Uppdraget regleras i ett kontrakt, nedan kalla Affärsavtalet. Detta säkerhetsskyddsavtal är en förutsättning men utgör ingen utfästelse eller garanti för att Myndigheten ska teckna Affärsavtal med Företaget. Om det förekommer motstridiga uppgifter i Affärsavtalet gäller detta säkerhetsskyddsavtal framför Affärsavtalet. Motsvarande skrivning ska även tas in i Affärsavtalet.

Företaget får endast använda underleverantörer som har tecknat säkerhetsskyddsavtal med Myndigheten. 2 3 Säkerhetsskyddsorganisation Det ska finnas en säkerhetsskyddschef och en ställföreträdande säkerhetsskyddschef på Företaget. Säkerhetsskyddschefen ska i Uppdragets säkerhetsskyddsfrågor vara direkt underställd Företagets ledning. Säkerhetsskyddschefen leder säkerhetsskyddsverksamheten inom Företaget och är kontaktperson i säkerhetsskyddsfrågor gentemot Myndigheten. På Företaget ska det även finnas en systemsäkerhetsansvarig för IT-system som är avsedda för behandling av hemliga uppgifter.. 4 Säkerhetsskyddsåtgärder Företaget ska upprätta en säkerhetsskyddsinstruktion när säkerhetsskyddsavtalet har undertecknats. Säkerhetsskyddsinstruktionen inklusive eventuella förändringar eller tillägg i säkerhetsskyddsinstruktionen ska godkännas av Myndigheten. Företaget ska dokumentera de säkerhetsskyddsåtgärder som har vidtagits i Uppdraget. 5 Behörighet Behörig att ta del av hemliga uppgifter är endast personer som; bedöms pålitliga från säkerhetssynpunkt har tillräckliga kunskaper om säkerhetsskydd behöver uppgifterna för sitt uppdrag eller arbete i den verksamhet där de hemliga uppgifterna förekommer Hemliga uppgifter får endast delges personer som har säkerhetsprövats och godkänts av Myndigheten. 6 Informationssäkerhet Myndigheten ska klargöra för Företaget i vilken utsträckning handlingar med mera som överlämnas till Företaget innehåller hemliga uppgifter. Om hemliga uppgifter uppkommer under Uppdragets utförande på Företaget, ska Företaget vidta de säkerhetsskyddsåtgärder som är nödvändiga. Företaget ska utan dröjsmål meddela Myndigheten om hemliga uppgifter har uppkommit samt vilka säkerhetsskyddsåtgärder som har vidtagits. Myndigheten ska alltid godkänna utrymmen som används vid hantering och förvaring av hemliga uppgifter. Hemliga uppgifter får endast hanteras i IT-system som har godkänts för sådan hantering av Myndigheten. Beträffande hemliga uppgifter i IT-miljö gäller för Uppdraget bestämmelserna i bilaga A, tillhörande denna handling. Företaget bör klargöra för Myndigheten i vilken utsträckning uppgifter avseende affärs- eller driftsförhållanden som överlämnas till Myndigheten är att anses som hemliga, samt varför Företaget kan komma att lida skada om dessa röjs (enligt offentlighets- och sekretesslagen [2009:400]). Företaget är dock medvetet om att Myndigheten ändå kan vara skyldig att lämna ut sådana uppgifter.

3 Företaget får inte utan Myndighetens tillstånd lämna uppgifter till massmedia som rör Uppdraget och som enligt Myndigheten innehåller hemlig uppgift. Detsamma gäller för publicering i broschyrer, tidskrifter, böcker, filmer etc., samt vid föredrag, utställningar och förevisningar dit personer som inte är behöriga ( 5) har tillträde. Företaget får inte utan Myndighetens tillstånd offentliggöra att de träffat ett säkerhetsskyddsavtal. Denna information får därmed inte användas i marknadsföring eller på annat sätt. 7 Tillträdesbegränsning Myndigheten ska i samråd med Företaget fastställa nivån på tillträdesskyddet för de lokaler och områden eller motsvarande som Företaget avser att använda vid genomförandet av Uppdraget. Detta ska ske innan Företaget får del av hemliga uppgifter eller den säkerhetskänsliga verksamheten påbörjas. Företaget får inte utan Myndighetens godkännande byta eller använda andra lokaler, områden eller motsvarande för Uppdragets genomförande. Endast behöriga personer som har godkänts av Myndigheten får ha tillträde till de lokaler, områden eller motsvarande där Uppdraget genomförs. 8 Säkerhetsprövning Innan person får del av hemliga uppgifter ska Företaget genom säkerhetsprövning pröva vederbörandes lojalitet och pålitlighet från säkerhetssynpunkt. Säkerhetsprövningen ska omfatta varje person som får del av hemlig uppgift, oavsett om de blir föremål för registerkontroll enligt säkerhetsskyddslagen (1996:627) eller inte. Säkerhetsprövning ska omfatta en personbedömning samt inhämtande av betyg, intyg och referenser. Är befattningen placerad i säkerhetsklass ska säkerhetsprövningen även omfatta registerkontroll och i vissa fall särskild personutredning. Säkerhetsprövningen ska dokumenteras av Företaget och på begäran lämnas till Myndigheten. Tillsammans med uppgifter som har framkommit vid registerkontroll och särskild personutredning utgör säkerhetsprövningen underlag för Myndighetens beslut om att personen får anlitas. Företaget får inte anlita personen innan Företaget har fått del av Myndighetens beslut. Innan en ansökan om registerkontroll skickas till Myndigheten ska Företaget särskilt informera den person som ska bli föremål för registerkontroll om vad kontrollen innebär. Företaget ska i samband med detta också inhämta personens samtycke till kontrollen. Samtycket ska dokumenteras och förvaras på Företaget. Företaget ska utan dröjsmål anmäla till Myndigheten om en registerkontrollerad person på Företaget lämnar uppdraget. Myndigheten ska utan dröjsmål anmäla till Säkerhetspolisen att personen har lämnat Uppdraget. Företaget ska till Myndigheten anmäla omständigheter som kan vara av betydelse för bedömningen av ensäkerhetsprövad persons lämplighet och pålitlighet. Om en person som har säkerhetsprövats inom ramen för detta säkerhetsskyddsavtal under Uppdragets genomförande befinns olämplig från säkerhetssynpunkt, ska Företaget vidta de åtgärder som är lämpliga för att vederbörande inte ska få tillgång till hemliga uppgifter eller tillträde till lokaler, områden eller motsvarande där säkerhetskänslig verksamhet bedrivs.

4 9 Intern utbildning och kontroll Myndigheten ska innan Uppdraget påbörjas ge lämplig utbildning i säkerhetsskyddsfrågor till de personer på Företaget som kan komma att få del av hemlig uppgift eller tillträde till lokaler, områden eller motsvarande där säkerhetskänslig verksamhet bedrivs. Därefter ansvarar Företaget för att dessa personer ges behövlig och fortlöpande utbildning. Utbildningen ska bland annat behandla: hot och risker som från säkerhetssynpunkt föreligger mot eller är förknippade med Uppdraget säkerhetsskyddsåtgärder som enligt Företagets säkerhetsskyddsinstruktion ska vidtas mot föreliggande hot och risker Myndigheten kan vid behov och efter särskild framställan medverka i viss utbildning som Företaget ger. Företaget ska fortlöpande kontrollera att endast behöriga personer som har godkänts av Myndigheten anlitas och att säkerhetsskyddet avseende informationssäkerhet och tillträdesbegränsning iakttas, samt att skyddsnivån är jämn och tillräckligt hög. Företaget ska omedelbart underrätta Myndigheten om inträffade eller befarade händelser och omständigheter som kan påverka säkerhetsskyddet vad avser Uppdraget och personer som faller under detta avtal. 10 Tillsyn Myndigheten har rätt att kontrollera att de i säkerhetsskyddsinstruktionen redovisade och avtalade säkerhetsbestämmelserna följs. Vid en sådan tillsyn kan Myndigheten biträdas av en representant från Säkerhetspolisen och/eller Försvarsmakten. Tillsynen ska ske under Företagets ordinarie kontorstid eller på plats och tid enligt särskild överenskommelse. Tillsynen får inte vara mer ingripande för Företaget än vad som är nödvändigt. 11 Kostnader Företaget ska bära eventuella kostnader som uppkommer med anledning av detta säkerhetsskyddsavtal om inget annat avtalats i Affärsavtalet. 12 Övrigt Hemliga uppgifter som har tillförts eller uppkommit under Uppdragets genomförande ska även efter att avtalet har upphört, eller till dess att Myndigheten meddelar något annat, omfattas av tystnadsplikt. Företaget ska informera berörd personal om innebörden av tystnadsplikten och säkerhetsskyddet samt se till att personalen undertecknar sekretessförbindelser. Dessa förvaras på Företaget så länge Uppdraget pågår. När Uppdraget är slutfört lämnas sekretessförbindelserna till Myndigheten. Företaget ska utan dröjsmål anmäla till Myndigheten när någon förändring sker beträffande firma, organisationsnummer, styrelse, verkställande direktör, revisor, post- och besöksadress eller telefonnummer. Avser ändringen firma, organisationsnummer, styrelse, verkställande direktör eller revisor ska ett nytt registreringsbevis från Bolagsverket bifogas anmälan. En anmälan ska också göras om ägarförhållandena ändras, om Företaget råkar i ekonomiska svårigheter eller försätts i konkurs. Samtliga handlingar, material eller övrigt som innehåller hemliga uppgifter och som har anknytning till Uppdraget är Myndighetens egendom om inget annat har avtalats. Dessa handlingar eller dylikt

5 ska senast i samband med fullgjort Uppdrag återlämnas till Myndigheten eller vid den tidpunkt som parterna särskilt har kommit överens om. 13 Avtalsperiod Detta säkerhetsskyddsavtal träder i kraft vid undertecknandet och gäller tills vidare eller till dess det skriftligen med en uppsägningstid om tre (3) månader sägs upp av endera parten. Avtalet kan dock inte ensidigt sägas upp till en tidigare tidpunkt än den dag då Uppdraget har slutförts eller alla hemliga uppgifter har återlämnats till Myndigheten. Myndigheten kan dock ensidigt säga upp detta avtal liksom Affärsavtalet med omedelbar verkan om Företaget frångår detta avtal. Detta avtal har upprättats i två (2) likalydande exemplar varav parterna har tagit var sitt. [Ort och datum] Myndigheten [Ort och datum] [Företaget AB]............................................. (Namnteckning) (Namnteckning)............................................. (Namnförtydligande) (Namnförtydligande)

A069.352/2014 BILAGA A TILL BILAGA 2 SÄKERHETSSKYDDSAVTAL (nivå 1) Bestämmelser avseende informationssäkerhet för hemliga uppgifter i IT-miljö 1. ALLMÄNT Denna bilaga innehåller bestämmelser avseende hantering av hemliga uppgifter i IT-miljö som rör Uppdraget. Det som har avtalats avseende hemliga uppgifter gäller även för kvalificerat hemliga uppgifter, om inte annat anges. Hemliga uppgifter får endast hanteras i IT-system som har godkänts för sådan hantering av Myndigheten. Företaget ska samråda med Myndigheten om osäkerhet uppstår angående vad som ska betraktas som hemlig uppgift. Företaget ska dokumentera mål och riktlinjer för säkerheten i IT-system från anskaffning till avveckling. Företaget ska även dokumentera instruktioner för användning, förvaltning och drift av IT-system som är avsedda för behandling av hemlig uppgift. Dokumentationen avseende mål och riktlinjer samt instruktionerna ska godkännas av Myndigheten. IT-system får inte tas i drift förrän Myndigheten har godkänt systemen för behandling av hemlig uppgift. Inför godkännandet ska IT-systemet granskas för att verifiera att det uppfyller kraven på säkerhetsskydd. Vid granskningen är det särskilt viktigt att granska om IT-systemet samverkar med andra IT-system. Granskningen ska ske av annan än den som uppförde systemet. Granskningen ska dokumenteras. 2. IT-SYSTEM FÖR BEHANDLING AV HEMLIG UPPGIFT Ett IT-system kan utgöras av en fristående dator som har en löstagbar hårddisk, eller ett fysiskt separat nätverk med flera datorer. En okrypterad dataförbindelse får användas för hemlig uppgift inom ett område eller en lokal som disponeras av Företaget om Företaget har vidtagit och dokumenterat betryggande åtgärder mot obehörig avlyssning, och om Myndigheten har godkänt detta. Hemlig uppgift får inte behandlas i ett IT-system som har externa nätverkskopplingar om inte Myndigheten har medgett annat. Om Myndigheten medger externa nätverkskopplingar får hemlig uppgift sändas via ett elektroniskt kommunikationsnät endast om ett av Försvarsmakten godkänt signalskyddssystem (kryptosystem) används. Sändningen måste också ske enligt de bestämmelser som gäller för den aktuella sekretessnivån. Det är viktigt att försäkra sig om till vilket IT-system den hemliga uppgiften ska skickas. Samråd ska ske med Myndigheten innan sändning förekommer.

A069.352/2014 3. SYSTEMSÄKERHETSANSVARIG Företaget ska utse en systemsäkerhetsansvarig som ansvarar för säkerheten i det IT-system som ska hantera hemlig uppgift. 4. HANTERING AV ELEKTRONISKA HEMLIGA HANDLINGAR Hemlig uppgift i IT-system ska så långt praktiskt möjligt hanteras på samma sätt som hemlig handling. Hemlig elektronisk handling ska märkas enligt anvisningar i säkerhetsskyddsinstruktionen. En kvalificerad hemlig elektronisk handling får inte skicka elektroniskt. Anvisningar om övrig hantering av hemlig elektronisk handling anges i den av Företaget upprättade och av Myndigheten godkända säkerhetsskyddsinstruktionen. 5. BEHÖRIGHETSKONTROLL OCH SÄKERHETSLOGGNING Om IT-systemet utgörs av ett nätverk ska ett behörighetskontrollsystem användas där alla användare är unikt identifierbara och har ett personligt aktivt kort eller en säkerhetsdosa för att logga in i IT-systemet. Om IT-systemet utgörs av en fristående dator som nyttjas av flera personer ska det vid varje användning finnas ett behörighetskontrollsystem eller föras en förteckning i en kvittenslista. Alternativt kan varje individuell användare ha varsin löstagbar hårddisk. Det ska finnas en förteckning över vilka som har behörighet att använda IT-systemet. Denna förteckning ska sparas för att spårbarhet ska kunna uppnås i efterhand. Förteckningen ska överlämnas till Myndigheten när Uppdraget är avslutat. IT-systemet ska logga användaridentitet, datum och tidpunkt för inloggning och utloggning samt användaraktiviteter i övrigt som är av betydelse för säkerheten i systemet. Företaget ska dokumentera hur säkerhetsloggar ska analyseras. Myndigheten ska godkänna anvisningarna. Säkerhetsloggarna ska överlämnas till Myndigheten när Uppdraget är avslutat. 6. SKYDD MOT SKADLIG KOD Innan ny information tillförs IT-systemet ska informationen kontrolleras så att den inte innehåller skadlig kod. Programvara som skyddar mot skadlig kod ska uppdateras kontinuerligt. Företaget ska dokumentera skyddet mot skadlig kod och Myndigheten ska godkänna skyddet. 7. INTRÅNGSDETEKTERING OCH SKYDD MOT INTRÅNG IT-systemet ska vara försett med intrångsskydd och funktioner för intrångsdetektering. Företaget ska dokumentera intrångsskyddet och intrångsdetekteringen, och Myndigheten ska godkänna skyddet och detekteringen. 8. SKYDD MOT RÖJANDE SIGNALER OCH OBEHÖRIG AVLYSSNING Företaget ska analysera och dokumentera behovet av skydd mot röjande signaler. Myndigheten ska godkänna analysen. Om det behövs ska IT-systemet ha ett betryggande skydd mot röjande av signaler. IT-system ska vara försedda med betryggande skydd mot obehörig avlyssning.

A069.352/2014 9. INCIDENTHANTERING Företaget ska dokumentera rutiner för hantering, rapportering och uppföljning av incidenter av betydelse för säkerheten i eller kring ett IT-system. Myndigheten ska godkänna incidenthanteringen. 10. SÄKERHETSKOPIERING Säkerhetskopior ska tas enligt en Företaget dokumenterad rutin, och förvaras avskilt från den plats där det berörda IT-systemet finns. Säkerhetskopiorna ska testas regelbundet och förvaras i ett godkänt säkerhetsskåp. Säkerhetskopiorna bör krypteras. Myndigheten ska godkänna rutinerna för säkerhetskopiering. 11. KONTINUITETSPLAN Företaget ska bedöma och dokumentera den längsta tid som IT-systemet kan vara ur funktion utan att Uppdraget i väsentlig omfattning störs. Företaget ska också bedöma och dokumentera vilken reservrutin som ska användas om det inträffar. Myndigheten ska godkänna kontinuitetsplanen. 12. HANTERING AV UTSKRIFTER Skrivare eller plotter ska vara placerad i nära anslutning till och inom synhåll från den dator där utskriften upprättas. 13. HANTERING AV DIGITALA LAGRINGSMEDIER En dator med inbyggd hårddisk ska vara inlåst i ett godkänt säkerhetsskåp (SS 3492). Har datorn en löstagbar hårddisk ska hårddisken förvaras i säkerhetsskåpet. Även andra lagringsmedier som disketter, CD- eller DVD-skivor och USB-minnen, som innehåller hemlig uppgift, ska förvaras i säkerhetsskåp. Endast behörig personal får ha tillgång till säkerhetsskåpet. Ett lagringsmedium som innehåller eller har innehållit hemlig uppgift får endast återanvändas inom Uppdraget av behörig person. Ett sådant lagringsmedium får endast användas i utrustning som har godkänts för hantering av hemlig uppgift. Ett lagringsmedium som innehåller eller har innehållit hemlig uppgift ska vara försett med en varaktig hemligbeteckning. En förteckning ska föras som beskriver innehållet på lagringsmediet, för att underlätta utredning av vilka uppgifter som har förlorats vid en eventuell förlust av lagringsmediet. Lagringsmedier ska inventeras på samma sätt som hemlig handling. När ett lagringsmedium utrangeras ska det överlämnas till Myndigheten för destruering, alternativt förstöras enligt Myndighetens anvisningar. Ett lagringsmedium får inte lämna Företagets lokaler utan Myndighetens godkännande. Om ett lagringsmedium medförs från Företagets lokaler ska det hållas under omedelbar uppsikt eller förvaras på ett sätt som motsvarar den säkerhetsskyddsnivå som gäller för förvaring av lagringsmediet inom Företagets lokaler. Under transport ska, i förekommande fall, den hemliga uppgiften krypteras med av Myndigheten godkänd kryptoprodukt.

A069.352/2014 14. UNDERHÅLL Vid service och underhåll av lagringsmedier som innehåller hemlig uppgift får Företaget endast använda personal som är behörig att ta del av hemlig uppgift enligt säkerhetsskyddsavtalet.

A069.352/2014 1(12) FÖRSLAG TILL S Ä K E R H E T S S K Y D D S I N S T R U K T I O N Innehållsförteckning Sida 1. Syfte 2 2. Begreppsförklaringar 2 3. Säkerhetsskyddsorganisation 3 4. Säkerhetsskyddsmän 4 5. Val av personal och underleverantör 4 6. Framställning av hemlig handling 4 7. Registrering 5 8. Kvittering 5 9. Förvaring 6 10. Låskod/Nyckel 6 11. Inventering/Gallring 7 12. Förlust m.m. 8 13. Förstöring m.m. 8 14. Befordran av hemlig handling 8 15. Befordran med bud 9 16. Befordran med post 9 17. Befordran på annat sätt 10 18. Röjande signal (RÖS) 10 19. IT-säkerhet 10 20. Tystnadsplikt/Sekretessbevis 10 21. Tillträdesbegränsning 11 22. Intern utbildning 11 23. Kontroll 11 24. Redovisning 12 25. Övrigt 12

SÄKERHETSSKYDDSINSTRUKTION 2(12) 1. SYFTE Denna instruktion skall gälla i tillämpliga delar för Företaget AB med org.nr xxxxxx-xxxx. Nedan kallat Företaget. Detta föranlett av att Företaget effektuerar en beställning där säkerhetsskydd krävs enligt 8 säkerhetsskyddslagen (1996:627). Det åligger berörd personal inom Företaget att noggrant följa föreskrifterna i denna instruktion. 2. BEGREPPSFÖRKLARINGAR SUA-arbete Uppdrag eller arbete som med hänsyn till rikets säkerhet skall hållas hemligt enligt ett säkerhetsskyddsavtal som upprättats mellan en beställande myndighet och en leverantör. I SUA kan ingå studie/planering, utveckling/projektering, anbudsgivning, upphandling, prov och försök samt produktion. Även garantiåtgärder kan omfattas av SUA. Ett SUA-arbete föreligger fr.o.m. att en myndighet beslutat sätta igång ett projekt som efter bedömning kan antas innehålla hemliga uppgifter och där i något avseende annan myndighet, företag eller enskild person kan komma att anlitas som anbudsgivare, leverantör, entreprenör eller konsult. Beställande myndighet Staten, kommunerna, landstingen eller ett verksamhetsställe med ekonomiskt ansvar som själv tar initiativ till och ombesörjer eller påbörjar en SUA. Beställare är även den som efter ett uppdrag fullföljer av annan beställare påbörjat arbete och som enligt 8 säkerhetsskyddslagen skall träffa avtal om sådant arbete. Leverantör Myndighet, företag (aktie-, handels-, kommanditbolag, ekonomisk förening eller enskild firma) eller tillhörande filial, region- eller lokalkontor eller organisation som en beställande myndighet avser anlita för SUA såsom anbudsgivare eller leverantör. Med leverantör avses i registerkontrollsammanhang ägare, verkseller institutionschef eller, beträffande aktiebolag styrelsen och verkställande direktör. Hemlig uppgift Med hemlig uppgift förstås uppgift som omfattas av sekretess enligt Offentlighets- och sekretesslagen ( 2009:400) och som rör rikets säkerhet.

Hemliga uppgifter kan framgå av handlingar, visst förhållande, anläggning, föremål eller muntlig uppgift. Behörig att ta del av hemliga uppgifter är endast den som 1. bedöms pålitlig från säkerhetssynpunkt, 2. har tillräckliga kunskaper om säkerhetsskydd, och 3(12) 3. behöver uppgifterna för sitt arbete i den verksamhet där de hemliga uppgifterna förekommer. Alla andra är obehöriga att ta del av hemlig uppgift. Säkerhetsskyddsavtal Ett skriftligt avtal vid SUA som ingås mellan beställande myndighet och leverantör angående det säkerhetsskydd som bedöms nödvändigt för den enskilda upphandlingen. Ett säkerhetsskyddsavtal skall träffas/bekräftas vid varje SUAupphandling. 3. SÄKERHETSSKYDDSORGANISATION Säkerhetsskyddschef med ställföreträdare skall finnas vid Företaget. Säkerhetsskyddet inom Företaget planläggs, leds och övervakas av säkerhetsskyddschefen. Säkerhetsskyddschefen skall i fråga om säkerhetsskyddstjänsten lyda direkt under Företagets ledning. Säkerhetsskyddschefen är kontaktman till beställande myndighet och skall till denna ofördröjligen anmäla om - skadegörelse skett på försändelse med hemligt innehåll, - hemlig handling, hemligt material eller hemligt arbetsmateriel förkommit eller saknas, - brister i säkerhetsskyddet, som inte enkelt kan avhjälpas, som uppmärksammas inom Företaget eller hos underleverantör - obehörig söker skaffa upplysning om hemligt förhållande - misstanke föreligger om brott såsom spioneri, sabotage eller liknande. - inbrott skett vid Företaget eller hos enskild anställd vilken deltar i SUA-arbete Säkerhetsskyddschefen skall dessutom - snarast göra en polisanmälan om dröjsmål kan innebära att

bevis går förlorade eller utredning av en händelse äventyras. - dokumentera förhållanden och åtgärder om säkerhetsskyddet - föra förteckning över behöriga med ev. fördelning på aktuella säkerhetsklasser. 4. SÄKERHETSSKYDDSMÄN 4(12) Vid behov utser Företaget säkerhetsskyddsmän som inom respektive arbetsområden övervakar efterlevnaden av gällande bestämmelser och till säkerhetsskyddschefen anmäler överträdelser och brister. Utsedda säkerhetsskyddsmän skall framgå av förteckning. 5. VAL AV PERSONAL OCH UNDERLEVERANTÖR Beställande myndighets skriftliga godkännande skall inhämtas avseende. - anställd person, innan denne informeras om eller tas i anspråk för SUA-arbete, - annan anställd vid Företaget vars uppgifter eller arbetsplats innebär att kännedom om hemliga uppgifter inte utan omfattande åtgärder kan undvikas, - annan person, som Företaget har för avsikt att anställa eller anlita för SUA-arbete och - underleverantör eller underentreprenör, innan sådan informeras om eller tas i anspråk för SUA-arbete. Beställande myndighets ställningstagande till lämplig personal för ett SUA-arbete och deras föreslagna inplacering i säkerhetsklass grundar sig på förslag från entreprenören/leverantören. Föreslagna personer skall därför vara kända av Företaget som lämpliga och pålitliga. Finns inte sådan kännedom skall denna införskaffas i likhet med vad som gäller för anställning av kvalificerade arbetskraft i allmänhet. Föreslagen personal skall informeras om att de kommer att registerkontrolleras (H SÄK SUA kap 3 Registerkontroll). Skriftlig bekräftelse av att berörd person lämnat sitt skriftliga samtycke till registerkontroll skall medfölja förslaget till begäran om registerkontroll. Löfte om anställning (motsv.) får under inga förhållanden lämnas innan beställande myndighets godkännande erhållits. 6. FRAMSTÄLLNING AV HEMLIG HANDLING Hemlig handling får med beställande myndighets medgivande framställas endast i det antal exemplar som oundgängligen erfordras för arbetet. Om en handling upprättas i flera exemplar skall dessa numreras. Består

handlingen av flera blad, skall sidorna numreras i löpande följd och 5(12) hopfästas. På första sidan skall anges antalet sidor, antalet exemplar, handlingens exemplarnummer och, om bilagor medföljer, deras antal. Såväl kopia av eller hemligt utdrag ur hemlig handling skall hemligstämplas och införas i register med angivande av datum, antal exemplar och hur dessa fördelas. På utdrag antecknas från vilken handling det gjorts. Fråga om hemligbeteckning av hemlig handling eller annat hemligt föremål skall överenskommas med beställande myndighet. Hemligt arbetsmaterial såsom koncept, extra kopior, datamedium, karbonpapper, tryckmedia eller liknande som använts vid framställning av hemlig handling, skall förstöras, när de inte längre behövs. Karta, bild eller motsvarande som upprättats med användande av hemligt kart- eller bildmaterial skall behandlas som hemlig handling. Uppkommer fråga om spridning - publicering - skall godkännande härför via beställande myndighet inhämtas hos Statens lantmäteriverk. 7. REGISTRERING Hemliga handlingar införs av säkerhetsskyddschefen eller av utsedd behörig (registrator) i särskilt register. Av registret skall framgå - datum då handlingen mottagits eller avsänts, avsändare eller adressat samt i förekommande fall postens inlämningsnummer, - registreringsnummer i förekommande fall för såväl avsändare som mottagare, - handlingens innehåll i korthet (ärendemening), och antalet bilagor, - vem som öppnat eller emballerat försändelsen, om detta inte är fastställt genom Företagets organisation, - hos vem handlingen förvaras, - anteckning då kopia eller utdrag gjorts och - datum då handling förstörts, utbytts, saknas eller förkommit. Hemlig materiel registreras på motsvarande sätt. 8. KVITTERING Hemlig handling, hemlig materiel och hemligt arbetsmateriel skall kvitteras av mottagaren om intet annat överenskommits med

beställande myndighet. 6(12) Kvittering skall göras med namnteckning och namnförtydligande. Detta kan ske i register, liggare, på särskild kvittoblankett e.dyl. Om särskild kvittoblankett används skall kvittot upprättas i minst två exemplar. Då handlingen eller materielen återlämnas skall kvitteringen förses med anteckning härom. Originalkvitto skall återlämnas och dubblettkvitto (register/liggare) förses med anteckning om återlämnandet. Delgivning av en handling genom läsning eller på annat sätt skall bestyrkas på särskild lista med namnteckning och namnförtydligande. Hemlig handling eller del därav som innehåller bestyrkande om delgivning av handling skall då den inte längre behövs för uppdraget återlämnas till beställande myndighet. (Jämför punkterna 11 och 13). 9. FÖRVARING Hemliga föremål, handlingar och materiel förvaras så att inte någon obehörig kan komma åt dem. Hemliga handlingar skall förvaras i förvaringsutrymme med lägst skyddsnivå motsvarande säkerhetsskåp enligt Standardiseringskommissionens normer (SIS), Svensk Standard 3492. Den som har anförtrotts och kvitterat hemliga handlingar skall ha ett eget förvaringsutrymme. Bankfack och förvaringsutrymmen på t ex. hotell kan inte godkännas. Beställande myndighet kan efter framställan i undantagsfall bevilja avsteg. Hemliga handlingar bör om möjligt förvaras åtskilda från öppna handlingar. Förvaringsutrymme för hemliga handlingar och materiel skall hållas låst under tider, då det inte står under omedelbar uppsikt av den som har ansvaret för detsamma. Under kortare frånvaro från tjänsterum får hemliga handlingar ligga framme under förutsättning att rummet är låst och insynsskyddat så att obehörig inte kan ta del av handlingarna. Hemligt materiel skall i tillämpliga delar förvaras på samma sätt som hemlig handling. Hemlig handling (materiel), som medförs från Företaget, skall hållas under omedelbar uppsikt eller förvaras under samma skydd som vid Företaget. För sådant medförande skall det finnas fullgoda skäl och tillstånd av vederbörlig säkerhetsskyddsansvarig. 10. LÅSKOD/NYCKEL Vid inköp av förvaringsrum eller dörr till fast förvaringsutrymme skall nyckel levereras separat och direkt till Företagets säkerhetsskyddschef. Innan nyckel lämnas till den som skall ansvara för förvaringsutrymmet, skall den förvaras av säkerhetsskyddschefen eller av denne utsedd