Datum 2013-04-29. Beräknad slutbesiktning Utförandeentreprenad enligt AB 04 2013-10-30

Polisens verksamhetsstöd Affärsenheten Upphandlingssektionen ANSÖKNINGSINBJUDAN Diarienr (åberopas vid korrespondens) PVS-913-4593/12 Datum 2013-04-29 Ärendebeteckning Upphandlande myndighet Polismyndigheten i Gävleborgs län Ansvarig upphandlare : Beställare Tf Stabschef Ulrika Hjerpe Upphandlingsförfarande Urvals förfarande 15 kap 3 lagen (2011:1029) upphandling på försvars och säkerhetsområdet med Säkerhetsskyddsavtal (SUA) nivå 1 Ansökan senast 2013-05-21 Ansökan lämnas/skickas till Rikspolisstyrelsen, Registratorskontoret, Box 12256, 102 26 Stockholm Ansökningslämnaren skall vara bunden till sin ansökan t o m 2013-08-31 Avtalsform Beräknad slutbesiktning Utförandeentreprenad enligt AB 04 2013-10-30 Förfrågan avser Om- och tillbyggnad av Polisens lokaler i Gävle. 1 INLEDNING Rikspolisstyrelsen (RPS) är central förvaltnings- och tillsynsmyndighet för Polisen. I Polisens organisation ingår förutom RPS, Statens kriminaltekniska laboratorium samt 21 länsindelade polismyndigheter. Norrporten i Gävle AB (Norrporten) är ägare av fastigheten Söder 17:10, Gävle, i vilken Polismyndigheten i Gävleborgs län (Polismyndigheten) är hyresgäst. Polismyndigheten genomför detta projekt som investering i annans fastighet och kommer därmed att vara byggherre och tillika beställare. RPS genomför rubricerad upphandling för Polismyndighetens räkning och inbjuder er att ansöka om att få lämna anbud. Inbjudan sker genom annonsering i databasen www.mercell.se och genom publicering av denna ansökningsinbjudan jämte bilagor (Ansökningsinbjudan) på Rikspolisstyrelsens upphandlarprofil: www.polisen.se/aktuellt/polisens-upphandlingar/aktuella-upphandlingar/ Anbudssökande är själv skyldig att kontrollera att fullständig Ansökningsinbjudan erhållits. Postadress Box 12256 102 26 STOCKHOLM Besöksadress Polhemsgatan 30 STOCKHOLM Telefon 08-401 90 00 E-post rikspolisstyrelsen@rps.police.se Org.nr 202100-0076 Hemsida www.polisen.se Telefax 08-401 97 15 v4.5.16_1

Ansökningsförfarandets omfattning och de krav som ställs på anbudssökande framgår av denna Ansökningsinbjudan. Om behov av klargörande uppstår önskar RPS erhålla eventuella frågor skriftligen, per e-post ställda till ansvarig upphandlare: Bo Stålhammar E-post: bo.stalhammar@polisen.se Sista dag att inkomma med frågor är 2013-05-14. Sista dag RPS lämnar svar på inkomna frågor är 2013-05-16. Endast skriftliga svar från RPS ska anses utgöra del av Ansökningsinbjudan. Alla som ansöker om att få lämna anbud kommer att delges samtliga inkomna frågor och avgivna svar. Detta sker genom att frågor och svar löpande publiceras på Rikspolisstyrelsens upphandlarprofil och och det är anbudssökandes skyldighet att hålla sig uppdaterad i upphandlingen genom att frekvent gå in och se vad som där publicerats i upphandlingen. 2 INFORMATION 2.1 Omfattning Entreprenaden upphandlas som Utförandeentreprenad i enlighet med AB 04. Entreprenadens omfattning: Entreprenaden innebär ombyggnad av rum för FU-ledare (förundersökningsledare), VB-rum (vaktbefäl) m.fl inom LKC (Länskommunikationscentralen) i polishuset i Gävle. För entreprenaden beräknad utförandetid ca 2 månader. 2.2 Förutsättningar för upphandlingen Ingen som ansöker om att få lämna anbud kommer att få delta i upphandlingens steg 2 om inte ett SUA-avtal nivå 1 (se bilaga 1) tecknats mellan parterna och berörda personer blivit godkända i säkerhetsprövningen. Kostnaden ryms inom Polisens budget för projektet. 2.3 Personuppgiftslagen (PUL) I enlighet med personuppgiftslagen (SFS 1998:204) lämnas här information om att samtliga personuppgifter som begärs in i denna upphandling endast kommer att användas i syfte att kunna vidimera i anbud angivna kravuppfyllelser. Uppgifterna blir efter avslutad upphandling att anses som allmän handling såvida inte 5.9 nedan eller säkerhetsskyddslagen (SFS 1996:627) kan bli tillämplig. Det ankommer på anbudssökande att informera samt inhämta godkännande från berörda personer om detta förfarande. 2.4 Avtalsstart Entreprenaden beräknas att kunna påbörjas i augusti 2013 och avslutas i oktober 2013. Beräknade tider kan komma att justeras längre fram. Sida 2(9) Ansökningsinbjudan

3 KRAV PÅ ANBUDSSÖKANDEN De krav som ställs på den anbudssökande och dess eventuella underleverantörer som ska utföra det aktuella åtagandet framgår nedan: 3.1 Företagsuppgifter Anbudssökanden skall fylla i och bifoga anbudsansökan bilaga 2 Ansökningsformulär-Gävle polishus. 3.2 Uteslutningsgrunder Anbudssökanden skall vara fri från hinder för deltagande enligt 11 kap. 1-2 LUFS och lämna fullständiga och korrekta uppgifter i anbudsansökan samt ej utelämna information av betydelse för urvalsförfarandet. Anbudssökanden intygar genom att underteckna bilaga 2 och foga den till ansökan att kravet enligt ovan är uppfyllt. I det fall anbudssökande avser att anlita UE skall av denne behörig person underteckna bilaga 3 Sanningsförsäkran UE och anbudssökande skall sedan bifoga den i sin ansökan. I de fall flera UE anlitas får anbudssökande mångfaldiga bilaga 3. 3.3 Register-/tillståndskontroll Anbudssökande och eventuella UE skall uppfylla i Sverige eller i hemlandet lagenligt ställda krav avseende registrerings-, skatte- och avgiftsskyldigheter. RPS kommer via Skatteverket och Kronofogdemyndigheten kontrollera detta för svensk anbudssökande och dess eventuella UE. Utländsk anbudssökande och eventuell utländsk UE bifogar handling/-ar med motsvarande information som Skatteverkets Blankett SKV 4820 utfärdade av behörig officiell myndighet i hemlandet. Handling/-arna får ej vara äldre än tre (3) månader från den sista dagen att inkomma med anbudsansökan. I det fall anbudssökanden och eventuell UE är skyldig att vara registrerad i aktiebolags- eller handelsregister eller motsvarande register som förs i det land där anbudssökandens verksamhet är etablerad skall anbudssökanden/ue visa att denne är registrerad. Anbudssökanden och eventuell UE skall visa detta genom att bifoga anbudsansökan en kopia av registreringsbevis utfärdat av Bolagsverket. Utländsk anbudssökande och eventuell utländsk UE skall visa detta genom att bifoga anbudsansökan intyg med motsvarande uppgifter eller om sådana intyg inte kan erhållas i det land i vilken anbudssökanden har sin verksamhet genom att avge en utsaga på heder och samvete. Inlämnade handlingar enligt denna punkt får ej vara äldre än tre (3) månader från den sista dagen att inkomma med anbudsansökan. 3.4 Ekonomisk ställning 3.4.1 Kapacitet Anbudsökanden skall ha en sådan ekonomisk kapacitet så att han kan säkerställa entreprenadens genomförande. Sida 3(9) Ansökningsinbjudan

Anbudssökanden skall styrka uppfyllelse av kravet genom att bifoga anbudsansökan ett utdrag från affärs- och kreditupplysningsföretaget UC AB (som visar att anbudssökanden har erhållit riskklass 3 eller högre, beräknat på värden redovisade vid utgången av det senast registrerade och avslutade räkenskapsåret) eller utdrag från likvärdigt affärs- och kreditupplysningsföretag (som visar att anbudssökanden har erhållit motsvarande riskklass). I det fall anbudssökanden har godtagbara skäl för att inte inkomma med efterfrågade handlingar eller om anbudssökandens erhållna riskklass är lägre än 3 eller motsvarande skall anbudssökanden istället visa sin ekonomiska kapacitet genom att bifoga antingen: a) en moderbolagsgaranti eller likvärdig garanti, utfärdad av anbudssökandens moderbolag eller annan garant som uppfyller kravet i första stycket i denna punkt, i vilken anbudssökandens åtaganden enligt hyresavtalet garanteras som för eget åtagande; eller b) en redovisning av anbudssökandens revisor, eller annan fysisk eller juridisk person med insyn i anbudssökandens ekonomi, som visar att anbudssökanden kan upprätthålla ett långsiktigt avtal. Begärda handlingar i denna punkt får ej vara äldre än tre (3) månader från den sista dagen att inkomma med anbudsansökan. RPS kommer att genomföra en individuell prövning av varje anbudssökandes redovisade ekonomiska kapacitet. 3.4.2 Omsättning Anbudssökanden skall under de två (2) senast föregående och avslutade räkenskapsåren haft en genomsnittlig nettoomsättning om minst 10 miljoner kronor (SEK). Detta skall styrkas genom att till ansökan bifoga årsredovisningar innefattande efterfrågade uppgifter. 3.5 Teknisk och yrkesmässig kapacitet 3.5.1 Tidigare åtaganden Anbudssökande skall inge: två (2) Referensblad, bilaga 4 a-b, som styrker att anbudssökande har utfört två (2) total-, general- eller utförandeentreprenader under de senaste fem (5) åren som till omfattning liknar det som efterfrågas samt att dessa har utförts på ett tillfredsställande sätt. Entreprenaden skall ha slutförts senast sista dag för anbudslämnande. För att uppfylla kravet om att byggentreprenaderna har utförts på ett tillfredställande sätt skall snittbetyget för vardera referensblad vara tre (3) poäng eller högre. Referensbladen skall innehålla samtliga efterfrågade uppgifter. Anbudssökande skall själv ombesörja för att referenternas omdömen fylls i formuläret. Rikspolisstyrelsen kan komma att ringa angivna referensperson för att verifiera lämnade uppgifter. 3.5.2 Kvalitetssäkring För att kunna säkerställa kvaliteten på entreprenadens genomförande och färdigställd byggnation krävs bland annat att anbudssökande skall arbeta efter ett kvalitetssystem, Sida 4(9) Ansökningsinbjudan

antingen i form av en ISO9000-certifiering eller i form av ett eget dokumenterat kvalitetssystem. Anbudssökande skall styrka att kravet uppfylls genom att bifoga anbudet antingen intyg om certifiering eller en redovisning av den egna kvalitetssäkringen av verksamheten. Minst följande skall då framgå: a) kvalitetspolicy; b) allmän beskrivning av kvalitets mål, samt c) allmän beskrivning av kvalitetssäkring 3.5.3 Miljöskyddsåtgärder För att kunna säkerställa miljöarbetet i entreprenadens genomförande sker på ett effektivt och rationellt sätt krävs bland annat att anbudssökande skall arbeta efter ett miljöledningssystem, antingen i form av en ISO14001-certifiering eller i form av ett eget dokumenterat miljöledningssystem. Anbudssökande skall styrka att kravet uppfylls genom att bifoga anbudet antingen intyg om certifiering eller en redovisning av det egna miljöledningssystemet för verksamheten. Minst följande skall framgå: a) miljöpolicy; b) allmän beskrivning av miljömål; samt c) allmän beskrivning av miljösäkring 4 URVALSFÖRFARANDE Endast de krav som ställts i Ansökningsinbjudan med bilagor kommer att kontrolleras. Ansökningsinbjudan med bilagor innehåller ett antal skall-krav. En förutsättning för att ansökan ska kunna godkännas är att samtliga skall-krav är uppfyllda. RPS kommer att pröva samtliga inkomna ansökningar i tre (3) på varandra följande steg enligt nedan: 4.1 Uteslutning och kvalificering Vid kvalificeringen sker en prövning om anbudsgivare uppfyller de ställda kvalifikationskraven i punkten 3 Krav på anbudssökande samt om ansökan är korrekt inlämnad och innehåller all den dokumentation och de uppgifter som infordrats. De anbudsgivare som uppfyller kvalifikationskraven och vars ansökan är korrekt inlämnad har kvalificerat sig för nästa steg (4.2). 4.2 Selektering Urval Här kontrolleras att ansökan uppfyller övriga i Ansökningsinbjudan med bilagor ställda skallkrav. Minst tre (3) och maximalt fem (5) ansökningar som även uppfyllt dessa skallkrav kommer att få möjlighet att lämna anbud om även kraven enligt 4.3 uppfylls. Sida 5(9) Ansökningsinbjudan

Polismyndigheten förbehåller sig rätten att gå vidare med upphandlingen även om färre än tre anbudssökande kvalificerar sig. Om fler än fem (5) anbudssökande uppfyller kraven kommer de att rangordnas enligt 4.2.1 nedan. 4.2.1 Rangordningsmodell Skulle fler än fem (5) ansökningar klara 4.1 och 4.2 ovan kommer de sinsemellan att rangordnas enligt följande: 1. Högsta erhållna sammanlagda poäng för Företagets referenser enligt bilagorna 3 a + 3 b. Maximalt kan 90p (45 + 45) erhållas. 2. Lottning. De ansökningar som erhållit samma poäng och som belagt platserna kring plats nummer 5 kommer sinsemellan skiljas med lottens hjälp så att maximalt fem (5) ansökningar återstår. 4.3 Säkerhetsskyddsavtal och registerkontroll De anbudssökande som klarat 4.1, 4.2 samt rangordnats blande de fem (5) första enligt 4.2.1 kan komma att antas som anbudsgivare och bjudas in till anbudsgivning. Dessa kommer då att erhålla ett förfrågningsunderlag som innehåller hemliga uppgifter med hänsyn till rikets säkerhet och skyddet mot terrorism. En förutsättning för att anbudssökanden skall kunna bli antagen som anbudsgivare och erhålla förfrågningsunderlaget är att anbudssökanden har tecknat ett säkerhetsskyddsavtal med Polismyndigheten, se bilaga 1 Säkerhetsskyddsavtal (nivå 1) vid säkerhetsskyddad upphandling (SUA)" företagets förvaringsmöjligheter m m godkänts samt att en godkänd säkerhetsprövning och registerkontroll genomförts. Anbudssökanden skall acceptera samtliga säkerhetsskyddsvillkor utan reservationer, ändringar eller tillägg. Det finns tre olika nivåer på säkerhetsskyddsavtal; 1. Nivå 1 är för de företag som kommer att få del av hemlig handling samt kommer att hantera dessa i egna av Polismyndigheten godkända lokaler. 2. Nivå 2 är för de företag som kommer att hantera hemlig handling i annans men av Polismyndigheten godkänd lokal. 3. Nivå 3 är för de företag som inte kommer att hantera hemlig handling men som på grund av sin närvaro på platsen kan komma att få del av hemlig uppgift. Se även bilaga 1 Säkerhetsskyddsavtal med bilagor samt Förslag till säkerhetsskyddsinstruktion. Acceptans av säkerhetsskyddsvillkoren skall bekräftas genom att bifoga anbudsansökan bilaga 2 Ansökningsformulär-Gävle polishus undertecknad av behörig hos anbudssökanden. De anbudssökande som blir aktuella kommer att bli kontaktade av Polisen för ett företagsbesök. Vid detta besök kommer Polisen att inspektera de lokaler och den utrustning som anbudssökanden avser använda för att förvara och hantera handlingarna. Anbudssökanden kommer att beredas möjlighet att på egen bekostnad anpassa sina lokaler och sin utrustning så att de uppfyller Polismyndighetens krav för att få kvarstå som anbudsgivare. Vid detta möte skall anbudssökandes säkerhetsskyddschef/säkerhetsansvarig vara närvarande. Sida 6(9) Ansökningsinbjudan

Om Polismyndigheten inte inom rimlig tid (två veckor från begäran om detta) bereds möjlighet till sådant möte kan det hända att anbudssökanden inte kommer att godkännas som anbudsgivare. 4.3.1 Säkerhetsskyddsavtal och registerkontroll i fortsatt anbudsgivning och kommande avrop. Samtliga UE som anbudssökande vill anlita i fortsatt anbudsgivning och i kommande avtalsförfarande skall teckna egna säkerhetsskyddsavtal med Polismyndigheten och registerkontroller utföras. Företag och personer som ej blir godkända efter sådan kontroll skall ej kunna få tillgång till hemliga handlingar rörande anbudsförfarandet, ramavtal och ej heller få tillträde till arbetsplatsen. 4.4 Anbudsgivning Preliminärt kommer förfrågningsunderlag för steg 2 finnas för uthämtning i vecka 21 2013. Tiden för lämnade av anbud kommer att vara minst 20 arbetsdagar. 5 ADMINISTRATIVA BESTÄMMELSER 5.1 Upphandlingsförfarande Vid denna upphandling tillämpas urvlas förfarande, vilket innebär att Polismyndigheten efter kvalificeringsförfarande bjuder in vissa leverantörer att lämna anbud. 5.2 Anbudsansökans uppställning Anbudsansökan bör följa dispositionen i denna Ansökningsinbjudan. 5.3 Anbudsansökans språk All dokumentation i detta upphandlingsärende inklusive all korrespondens skall vara på svenska. 5.4 Anbudsansökans form Anbudsansökan, inklusive bilagor, skall lämnas skriftligen i en (1) originalhandling. Det är inte möjligt att lämna anbudsansökan via telefax eller e-post. 5.5 Anbudsansökan försändelse Anbudsansökan skall lämnas i en sluten neutral försändelse försedd med diarienummer PVS- 913-4593/12 samt texten ANSÖKAN- Gävle polishus som bekräftelse på att försändelsen innehåller ansökan om att lämna anbud. 5.6 Anbudsansökans avlämnande Anbudsansökan skall vara Rikspolisstyrelsen tillhanda senast den 21 Maj 2013 Anbudssökanden svarar för att anbudsansökan är inkommet i rätt tid. För sent inkomna anbudsansökningar kommer inte att beaktas. Sida 7(9) Ansökningsinbjudan

Anbudsansökan skickas till: Rikspolisstyrelsen Registratorskontoret Box 12256 102 26 Stockholm Anbudsansökan kan även skickas med bud eller avlämnas personligen till Rikspolisstyrelsen på Polhemsgatan 30 fram till kl. 23:59 den 21 Maj 2013. 5.7 Ansökans giltighetstid Anbudssökande skall vara bunden av sin ansökan till och med 31 augusti 2013. Acceptans av ansökans giltighetstid bekräftas i ansökan genom undertecknande av bilaga 1. 5.8 Kostnader i samband med anbudsansökan Anbudssökanden äger inte rätt till ersättning för anbudsansökan eller för kostnader i samband med anbudsansökan. 5.9 Offentlighetsprincipen Som myndighet omfattas Polisen av offentlighetsprincipen. Offentlighetsprincipen innebär att allmänheten har rätt att ta del av till myndigheten inkomna handlingar. För att en uppgift i en sådan handling ska kunna hemlighållas måste stöd finnas i offentlighets och sekretesslagen (2009:400). Efter det att en upphandling avslutats är inkomna anbud som huvudregel offentliga. Av 31 kap. 16 offentlighets och sekretesslagen följer dock att sekretess gäller för uppgift i anbud som rör anbudssökandes affärs- eller driftsförhållanden, om det av särskild anledning kan antas att anbudssökande lider skada om uppgiften röjs. Det ankommer på Polisen att pröva en begäran om att få ta del av anbud. För att underlätta eventuell sekretessprövning ombeds anbudssökande att i anbudet skriftligen: a) begära att viss uppgift ska hållas hemlig; b) ange vilken/-a uppgift/-er som ska gälla som skyddsvärda; c) ange vilken skada anbudssökande skulle lida om uppgiften röjdes. En sekretessprövning kan endast ske i samband med en begäran från allmänheten om att få ta del av anbud. Ett beslut om att sekretessbelägga anbud eller vissa uppgifter i ett anbud kan överklagas och prövas i domstol. Bo Stålhammar Sida 8(9) Ansökningsinbjudan

Bilagor 1. Säkerhetsskyddsavtal, nivå 1 a) Bestämmelser om informationssäkerhet b) Förslag till Säkerhetskyddsinstruktion 2. Ansökningsformulär Gävle Polishus 3. Sanningsförsäkran UE 4. Referensblad - Företag 4 a-b Sida 9(9) Ansökningsinbjudan

PVS-913-4593/12 1 BILAGA 1 SÄKERHETSSKYDDSAVTAL (nivå 1) mellan Polismyndigheten i Gävleborgs län, (202100-0076), Box 625, 801 26 Gävle som företräder staten, nedan kallad Myndigheten och Företaget AB (org.nr), adress, postadress, nedan kallat Företaget träffar följande avtal om säkerhetsskydd 1 Bakgrund Myndigheten och företaget avser att ingå ett avtal avseende att: Företaget ska få del av förfrågningsunderlag PVS-913-4593/12 angående projekt Ombyggnation i Gävle polishus. Uppdraget innebär att Företaget i sina egna lokaler kommer att hantera och förvara hemliga uppgifter. Säkerhetsskyddet ska förebygga; att hemliga uppgifter obehörigen röjs, ändras, görs otillgängliga för behöriga eller förstörs (informationssäkerhet) att obehöriga får tillgång till hemliga uppgifter eller verksamhet som har betydelse för rikets säkerhet eller till skydd mot terrorism (tillträdesbegränsning), och att personer som inte är pålitliga från säkerhetssynpunkt deltar i verksamhet som har betydelse för rikets säkerhet eller till skydd mot terrorism (säkerhetsprövning) Andra säkerhetsskyddsåtgärder är utbildning och kontroll. Detta avtal avser säkerhetsskydd för uppgifter som på Myndigheten omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400) och som rör rikets säkerhet och skyddet mot terrorism. En sådan uppgift benämns fortsättningsvis hemlig uppgift. En hemlig uppgift kan framgå av en handling, ett visst förhållande, en anläggning eller föremål av olika slag. 2 Avtalets omfattning, Detta säkerhetsskyddsavtal tillsammans med Företagets säkerhetsskyddsinstruktion reglerar vilka säkerhetsskyddsåtgärder som Företaget ska vidta i samband med Uppdraget. De ekonomiska villkoren avseende Uppdraget regleras i ett kontrakt, nedan kalla Affärsavtalet. Detta säkerhetsskyddsavtal är en förutsättning men utgör ingen utfästelse eller garanti för att Myndigheten ska teckna Affärsavtal med Företaget. Om det förekommer motstridiga uppgifter i Affärsavtalet gäller detta säkerhetsskyddsavtal framför Affärsavtalet. Motsvarande skrivning ska även tas in i Affärsavtalet.

Företaget får endast använda underleverantörer som har tecknat säkerhetsskyddsavtal med Myndigheten. 2 3 Säkerhetsskyddsorganisation Det ska finnas en säkerhetsskyddschef och en ställföreträdande säkerhetsskyddschef på Företaget. Säkerhetsskyddschefen ska i Uppdragets säkerhetsskyddsfrågor vara direkt underställd Företagets ledning. Säkerhetsskyddschefen leder säkerhetsskyddsverksamheten inom Företaget och är kontaktperson i säkerhetsskyddsfrågor gentemot Myndigheten. På Företaget ska det även finnas en systemsäkerhetsansvarig för IT-system som är avsedda för behandling av hemliga uppgifter.. 4 Säkerhetsskyddsåtgärder Företaget ska upprätta en säkerhetsskyddsinstruktion när säkerhetsskyddsavtalet har undertecknats. Säkerhetsskyddsinstruktionen inklusive eventuella förändringar eller tillägg i säkerhetsskyddsinstruktionen ska godkännas av Myndigheten. Företaget ska dokumentera de säkerhetsskyddsåtgärder som har vidtagits i Uppdraget. 5 Behörighet Behörig att ta del av hemliga uppgifter är endast personer som; bedöms pålitliga från säkerhetssynpunkt har tillräckliga kunskaper om säkerhetsskydd behöver uppgifterna för sitt uppdrag eller arbete i den verksamhet där de hemliga uppgifterna förekommer Hemliga uppgifter får endast delges personer som har säkerhetsprövats och godkänts av Myndigheten. 6 Informationssäkerhet Myndigheten ska klargöra för Företaget i vilken utsträckning handlingar med mera som överlämnas till Företaget innehåller hemliga uppgifter. Om hemliga uppgifter uppkommer under Uppdragets utförande på Företaget, ska Företaget vidta de säkerhetsskyddsåtgärder som är nödvändiga. Företaget ska utan dröjsmål meddela Myndigheten om hemliga uppgifter har uppkommit samt vilka säkerhetsskyddsåtgärder som har vidtagits. Myndigheten ska alltid godkänna utrymmen som används vid hantering och förvaring av hemliga uppgifter. Hemliga uppgifter får endast hanteras i IT-system som har godkänts för sådan hantering av Myndigheten. Beträffande hemliga uppgifter i IT-miljö gäller för Uppdraget bestämmelserna i bilaga 1. Företaget bör klargöra för Myndigheten i vilken utsträckning uppgifter avseende affärs- eller driftsförhållanden som överlämnas till Myndigheten är att anses som hemliga, samt varför Företaget kan komma att lida skada om dessa röjs (enligt offentlighets- och sekretesslagen [2009:400]). Företaget är dock medvetet om att Myndigheten ändå kan vara skyldig att lämna ut sådana uppgifter.

3 Företaget får inte utan Myndighetens tillstånd lämna uppgifter till massmedia som rör Uppdraget och som enligt Myndigheten innehåller hemlig uppgift. Detsamma gäller för publicering i broschyrer, tidskrifter, böcker, filmer etc., samt vid föredrag, utställningar och förevisningar dit personer som inte är behöriga ( 5) har tillträde. Företaget får inte utan Myndighetens tillstånd offentliggöra att de träffat ett säkerhetsskyddsavtal. Denna information får därmed inte användas i marknadsföring eller på annat sätt. 7 Tillträdesbegränsning Myndigheten ska i samråd med Företaget fastställa nivån på tillträdesskyddet för de lokaler och områden eller motsvarande som Företaget avser att använda vid genomförandet av Uppdraget. Detta ska ske innan Företaget får del av hemliga uppgifter eller den säkerhetskänsliga verksamheten påbörjas. Företaget får inte utan Myndighetens godkännande byta eller använda andra lokaler, områden eller motsvarande för Uppdragets genomförande. Endast behöriga personer som har godkänts av Myndigheten får ha tillträde till de lokaler, områden eller motsvarande där Uppdraget genomförs. 8 Säkerhetsprövning Innan person får del av hemliga uppgifter ska Företaget genom säkerhetsprövning pröva vederbörandes lojalitet och pålitlighet från säkerhetssynpunkt. Säkerhetsprövningen ska omfatta varje person som får del av hemlig uppgift, oavsett om de blir föremål för registerkontroll enligt säkerhetsskyddslagen (1996:627) eller inte. Säkerhetsprövning ska omfatta en personbedömning samt inhämtande av betyg, intyg och referenser. Är befattningen placerad i säkerhetsklass ska säkerhetsprövningen även omfatta registerkontroll och i vissa fall särskild personutredning. Säkerhetsprövningen ska dokumenteras av Företaget och på begäran lämnas till Myndigheten. Tillsammans med uppgifter som har framkommit vid registerkontroll och särskild personutredning utgör säkerhetsprövningen underlag för Myndighetens beslut om att personen får anlitas. Företaget får inte anlita personen innan Företaget har fått del av Myndighetens beslut. Innan en ansökan om registerkontroll skickas till Myndigheten ska Företaget särskilt informera den person som ska bli föremål för registerkontroll om vad kontrollen innebär. Företaget ska i samband med detta också inhämta personens samtycke till kontrollen. Samtycket ska dokumenteras och förvaras på Företaget. Företaget ska utan dröjsmål anmäla till Myndigheten om en registerkontrollerad person på Företaget lämnar uppdraget. Myndigheten ska utan dröjsmål anmäla till Säkerhetspolisen att personen har lämnat Uppdraget. Företaget ska till Myndigheten anmäla omständigheter som kan vara av betydelse för bedömningen av ensäkerhetsprövad persons lämplighet och pålitlighet. Om en person som har säkerhetsprövats inom ramen för detta säkerhetsskyddsavtal under Uppdragets genomförande befinns olämplig från säkerhetssynpunkt, ska Företaget vidta de åtgärder som är lämpliga för att vederbörande inte ska få tillgång till hemliga uppgifter eller tillträde till lokaler, områden eller motsvarande där säkerhetskänslig verksamhet bedrivs.

4 9 Intern utbildning och kontroll Myndigheten ska innan Uppdraget påbörjas ge lämplig utbildning i säkerhetsskyddsfrågor till de personer på Företaget som kan komma att få del av hemlig uppgift eller tillträde till lokaler, områden eller motsvarande där säkerhetskänslig verksamhet bedrivs. Därefter ansvarar Företaget för att dessa personer ges behövlig och fortlöpande utbildning. Utbildningen ska bland annat behandla: hot och risker som från säkerhetssynpunkt föreligger mot eller är förknippade med Uppdraget säkerhetsskyddsåtgärder som enligt Företagets säkerhetsskyddsinstruktion ska vidtas mot föreliggande hot och risker Myndigheten kan vid behov och efter särskild framställan medverka i viss utbildning som Företaget ger. Företaget ska fort löpande kontrollera att endast behöriga personer som har godkänts av Myndigheten anlitas och att säkerhetsskyddet avseende informationssäkerhet och tillträdesbegränsning iakttas, samt att skyddsnivån är jämn och tillräckligt hög. Företaget ska omedelbart underrätta Myndigheten om inträffade eller befarade händelser och omständigheter som kan påverka säkerhetsskyddet vad avser Uppdraget och personer som faller under detta avtal. 10 Tillsyn Myndigheten har rätt att kontrollera att de i säkerhetsskyddsinstruktionen redovisade och avtalade säkerhetsbestämmelserna följ. Vid en sådan tillsyn kan Myndigheten biträdas av en representant från Säkerhetspolisen och/eller Försvarsmakten. Tillsynen ska ske under Företagets ordinarie kontorstid eller på plats och tid enligt särskild överenskommelse. Tillsynen får inte vara mer ingripande för Företaget än vad som är nödvändigt. 11 Kostnader Företaget ska bära eventuella kostnader som uppkommer med anledning av detta säkerhetsskyddsavtal om inget annat avtalats i Affärsavtalet. 12 Övrigt Hemliga uppgifter som har tillförts eller uppkommit under Uppdragets genomförande ska även efter att avtalet har upphört, eller till dess att Myndigheten meddelar något annat, omfattas av tystnadsplikt. Företaget ska informera berörd personal om innebörden av tystnadsplikten och säkerhetsskyddet samt se till att personalen undertecknar sekretessförbindelser. Dessa förvaras på Företaget så länge Uppdraget pågår. När Uppdraget är slutfört lämnas sekretessförbindelserna till Myndigheten. Företaget ska utan dröjsmål anmäla till Myndigheten när någon förändring sker beträffande firma, organisationsnummer, styrelse, verkställande direktör, revisor, post- och besöksadress eller telefonnummer. Avser ändringen firma, organisationsnummer, styrelse, verkställande direktör eller revisor ska ett nytt registreringsbevis från Bolagsverket bifogas anmälan. En anmälan ska också göras om ägarförhållandena ändras, om Företaget råkar i ekonomiska svårigheter eller försätts i konkurs. Samtliga handlingar, material eller övrigt som innehåller hemliga uppgifter och som har anknytning till Uppdraget är Myndighetens egendom om inget annat har avtalats. Dessa handlingar eller dylikt

5 ska senast i samband med fullgjort Uppdrag återlämnas till Myndigheten eller vid den tidpunkt som parterna särskilt har kommit överens om. 13 Avtalsperiod Detta säkerhetsskyddsavtal träder i kraft vid undertecknandet och gäller tills vidare eller till dess det skriftligen med en uppsägningstid om tre (3) månader sägs upp av endera parten. Avtalet kan dock inte ensidigt sägas upp till en tidigare tidpunkt än den dag då Uppdraget har slutförts eller alla hemliga uppgifter har återlämnats till Myndigheten. Myndigheten kan dock ensidigt säga upp detta avtal liksom Affärsavtalet med omedelbar verkan om Företaget frångår detta avtal. Detta avtal har upprättats i två (2) likalydande exemplar varav parterna har tagit var sitt. [Ort och datum] [Myndigheten] [Ort och datum] [Företaget AB]............................................. (Namnteckning) (Namnteckning)............................................. (Namnförtydligande) (Namnförtydligande)

PVS-913-4593/12 BILAGA A TILLHÖRANDE SÄKERHETSSKYDDSAVTAL Bestämmelser avseende informationssäkerhet för hemliga uppgifter i IT-miljö 1. ALLMÄNT Denna bilaga innehåller bestämmelser avseende hantering av hemliga uppgifter i IT-miljö som rör Uppdraget. Det som har avtalats avseende hemliga uppgifter gäller även för kvalificerat hemliga uppgifter, om inte annat anges. Hemliga uppgifter får endast hanteras i IT-system som har godkänts för sådan hantering av Myndigheten. Företaget ska samråda med Myndigheten om osäkerhet uppstår angående vad som ska betraktas som hemlig uppgift. Företaget ska dokumentera mål och riktlinjer för säkerheten i IT-system från anskaffning till avveckling. Företaget ska även dokumentera instruktioner för användning, förvaltning och drift av IT-system som är avsedda för behandling av hemlig uppgift. Dokumentationen avseende mål och riktlinjer samt instruktionerna ska godkännas av Myndigheten. IT-system får inte tas i drift förrän Myndigheten har godkänt systemen för behandling av hemlig uppgift. Inför godkännandet ska IT-systemet granskas för att verifiera att det uppfyller kraven på säkerhetsskydd. Vid granskningen är det särskilt viktigt att granska om IT-systemet samverkar med andra IT-system. Granskningen ska ske av annan än den som uppförde systemet. Granskningen ska dokumenteras. 2. IT-SYSTEM FÖR BEHANDLING AV HEMLIG UPPGIFT Ett IT-system kan utgöras av en fristående dator som har en löstagbar hårddisk, eller ett fysiskt separat nätverk med flera datorer. En okrypterad dataförbindelse får användas för hemlig uppgift inom ett område eller en lokal som disponeras av Företaget om Företaget har vidtagit och dokumenterat betryggande åtgärder mot obehörig avlyssning, och om Myndigheten har godkänt detta. Hemlig uppgift får inte behandlas i ett IT-system som har externa nätverkskopplingar om inte Myndigheten har medgett annat. Om Myndigheten medger externa nätverkskopplingar får hemlig uppgift sändas via ett elektroniskt kommunikationsnät endast om ett av Försvarsmakten godkänt signalskyddssystem (kryptosystem) används. Sändningen måste också ske enligt de bestämmelser som gäller för den aktuella sekretessnivån. Det är viktigt att försäkra sig om till vilket IT-system den hemliga uppgiften ska skickas. Samråd ska ske med Myndigheten innan sändning förekommer.

PVS-913-4593/12 3. SYSTEMSÄKERHETSANSVARIG Företaget ska utse en systemsäkerhetsansvarig som ansvarar för säkerheten i det IT-system som ska hantera hemlig uppgift. 4. HANTERING AV ELEKTRONISKA HEMLIGA HANDLINGAR Hemlig uppgift i IT-system ska så långt praktiskt möjligt hanteras på samma sätt som hemlig handling. Hemlig elektronisk handling ska märkas enligt anvisningar i säkerhetsskyddsinstruktionen. En kvalificerad hemlig elektronisk handling får inte skicka elektroniskt. Anvisningar om övrig hantering av hemlig elektronisk handling anges i den av Företaget upprättade och av Myndigheten godkända säkerhetsskyddsinstruktionen. 5. BEHÖRIGHETSKONTROLL OCH SÄKERHETSLOGGNING Om IT-systemet utgörs av ett nätverk ska ett behörighetskontrollsystem användas där alla användare är unikt identifierbara och har ett personligt aktivt kort eller en säkerhetsdosa för att logga in i IT-systemet. Om IT-systemet utgörs av en fristående dator som nyttjas av flera personer ska det vid varje användning finnas ett behörighetskontrollsystem eller föras en förteckning i en kvittenslista. Alternativt kan varje individuell användare ha varsin löstagbar hårddisk. Det ska finnas en förteckning över vilka som har behörighet att använda IT-systemet. Denna förteckning ska sparas för att spårbarhet ska kunna uppnås i efterhand. Förteckningen ska överlämnas till Myndigheten när Uppdraget är avslutat. IT-systemet ska logga användaridentitet, datum och tidpunkt för inloggning och utloggning samt användaraktiviteter i övrigt som är av betydelse för säkerheten i systemet. Företaget ska dokumentera hur säkerhetsloggar ska analyseras. Myndigheten ska godkänna anvisningarna. Säkerhetsloggarna ska överlämnas till Myndigheten när Uppdraget är avslutat. 6. SKYDD MOT SKADLIG KOD Innan ny information tillförs IT-systemet ska informationen kontrolleras så att den inte innehåller skadlig kod. Programvara som skyddar mot skadlig kod ska uppdateras kontinuerligt. Företaget ska dokumentera skyddet mot skadlig kod och Myndigheten ska godkänna skyddet. 7. INTRÅNGSDETEKTERING OCH SKYDD MOT INTRÅNG IT-systemet ska vara försett med intrångsskydd och funktioner för intrångsdetektering. Företaget ska dokumentera intrångsskyddet och intrångsdetekteringen, och Myndigheten ska godkänna skyddet och detekteringen. 8. SKYDD MOT RÖJANDE SIGNALER OCH OBEHÖRIG AVLYSSNING Företaget ska analysera och dokumentera behovet av skydd mot röjande signaler. Myndigheten ska godkänna analysen. Om det behövs ska IT-systemet ha ett betryggande skydd mot röjande av signaler. IT-system ska vara försedda med betryggande skydd mot obehörig avlyssning.

PVS-913-4593/12 9. INCIDENTHANTERING Företaget ska dokumentera rutiner för hantering, rapportering och uppföljning av incidenter av betydelse för säkerheten i eller kring ett IT-system. Myndigheten ska godkänna incidenthanteringen. 10. SÄKERHETSKOPIERING Säkerhetskopior ska tas enligt en Företaget dokumenterad rutin, och förvaras avskilt från den plats där det berörda IT-systemet finns. Säkerhetskopiorna ska testas regelbundet och förvaras i ett godkänt säkerhetsskåp. Säkerhetskopiorna bör krypteras. Myndigheten ska godkänna rutinerna för säkerhetskopiering. 11. KONTINUITETSPLAN Företaget ska bedöma och dokumentera den längsta tid som IT-systemet kan vara ur funktion utan att Uppdraget i väsentlig omfattning störs. Företaget ska också bedöma och dokumentera vilken reservrutin som ska användas om det inträffar. Myndigheten ska godkänna kontinuitetsplanen. 12. HANTERING AV UTSKRIFTER Skrivare eller plotter ska vara placerad i nära anslutning till och inom synhåll från den dator där utskriften upprättas. 13. HANTERING AV DIGITALA LAGRINGSMEDIER En dator med inbyggd hårddisk ska vara inlåst i ett godkänt säkerhetsskåp (SS 3492). Har datorn en löstagbar hårddisk ska hårddisken förvaras i säkerhetsskåpet. Även andra lagringsmedier som disketter, CD- eller DVD-skivor och USB-minnen, som innehåller hemlig uppgift, ska förvaras i säkerhetsskåp. Endast behörig personal får ha tillgång till säkerhetsskåpet. Ett lagringsmedium som innehåller eller har innehållit hemlig uppgift får endast återanvändas inom Uppdraget av behörig person. Ett sådant lagringsmedium får endast användas i utrustning som har godkänts för hantering av hemlig uppgift. Ett lagringsmedium som innehåller eller har innehållit hemlig uppgift ska vara försett med en varaktig hemligbeteckning. En förteckning ska föras som beskriver innehållet på lagringsmediet, för att underlätta utredning av vilka uppgifter som har förlorats vid en eventuell förlust av lagringsmediet. Lagringsmedier ska inventeras på samma sätt som hemlig handling. När ett lagringsmedium utrangeras ska det överlämnas till Myndigheten för destruering, alternativt förstöras enligt Myndighetens anvisningar. Ett lagringsmedium får inte lämna Företagets lokaler utan Myndighetens godkännande. Om ett lagringsmedium medförs från Företagets lokaler ska det hållas under omedelbar uppsikt eller förvaras på ett sätt som motsvarar den säkerhetsskyddsnivå som gäller för förvaring av lagringsmediet inom Företagets lokaler. Under transport ska, i förekommande fall, den hemliga uppgiften krypteras med av Myndigheten godkänd kryptoprodukt.

PVS-913-4593/12 14. UNDERHÅLL Vid service och underhåll av lagringsmedier som innehåller hemlig uppgift får Företaget endast använda personal som är behörig att ta del av hemlig uppgift enligt säkerhetsskyddsavtalet.

1(12) FÖRSLAG TILL S Ä K E R H E T S S K Y D D S I N S T R U K T I O N Innehållsförteckning Sida 1. Syfte 2 2. Begreppsförklaringar 2 3. Säkerhetsskyddsorganisation 3 4. Säkerhetsskyddsmän 4 5. Val av personal och underleverantör 4 6. Framställning av hemlig handling 4 7. Registrering 5 8. Kvittering 5 9. Förvaring 6 10. Låskod/Nyckel 6 11. Inventering/Gallring 7 12. Förlust m.m. 8 13. Förstöring m.m. 8 14. Befordran av hemlig handling 8 15. Befordran med bud 9 16. Befordran med post 9 17. Befordran på annat sätt 10 18. Röjande signal (RÖS) 10 19. IT-säkerhet 10 20. Tystnadsplikt/Sekretessbevis 10 21. Tillträdesbegränsning 11 22. Intern utbildning 11 23. Kontroll 11 24. Redovisning 12 25. Övrigt 12

SÄKERHETSSKYDDSINSTRUKTION 2(12) 1. SYFTE Denna instruktion skall gälla i tillämpliga delar för Företaget AB med org.nr xxxxxx-xxxx. Nedan kallat Företaget. Detta föranlett av att Företaget effektuerar en beställning där säkerhetsskydd krävs enligt 8 säkerhetsskyddslagen (1996:627). Det åligger berörd personal inom Företaget att noggrant följa föreskrifterna i denna instruktion. 2. BEGREPPSFÖRKLARINGAR SUA-arbete Uppdrag eller arbete som med hänsyn till rikets säkerhet skall hållas hemligt enligt ett säkerhetsskyddsavtal som upprättats mellan en beställande myndighet och en leverantör. I SUA kan ingå studie/planering, utveckling/projektering, anbudsgivning, upphandling, prov och försök samt produktion. Även garantiåtgärder kan omfattas av SUA. Ett SUA-arbete föreligger fr.o.m. att en myndighet beslutat sätta igång ett projekt som efter bedömning kan antas innehålla hemliga uppgifter och där i något avseende annan myndighet, företag eller enskild person kan komma att anlitas som anbudsgivare, leverantör, entreprenör eller konsult. Beställande myndighet Staten, kommunerna, landstingen eller ett verksamhetsställe med ekonomiskt ansvar som själv tar initiativ till och ombesörjer eller påbörjar en SUA. Beställare är även den som efter ett uppdrag fullföljer av annan beställare påbörjat arbete och som enligt 8 säkerhetsskyddslagen skall träffa avtal om sådant arbete. Leverantör Myndighet, företag (aktie-, handels-, kommanditbolag, ekonomisk förening eller enskild firma) eller tillhörande filial, region- eller lokalkontor eller organisation som en beställande myndighet avser anlita för SUA såsom anbudsgivare eller leverantör. Med leverantör avses i registerkontrollsammanhang ägare, verkseller institutionschef eller, beträffande aktiebolag styrelsen och verkställande direktör. Hemlig uppgift Med hemlig uppgift förstås uppgift som omfattas av sekretess enligt Offentlighets- och sekretesslagen ( 2009:400) och som rör rikets säkerhet.