4 år från och med den dag då avtalet träder i kraft

Polisens verksamhetsstöd Administrativa enheten Upphandlingssektionen ANSÖKNINGSINBJUDAN Diarienr (åberopas vid korrespondens) HD-PVS-20/13 Datum 2013-03-28 Ärendebeteckning Upphandlande myndighet Polismyndigheten i Stockholms län Ansvarig upphandlare Bo Stålhammar E-post bo.stalhammar@polisen.se : Upphandlingsförfarande Selektivt förfarande 4 kap 1 lagen (2011:1029) om upphandling på försvars- och säkerhetsområdet (LUFS) med Säkerhetsskyddsavtal (SUA) nivå 1 Ansökan senast 2013-05-27 Ansökan lämnas/skickas till Rikspolisstyrelsen, Registratorskontoret, Box 12256, 102 26 Stockholm Ansökningslämnaren skall vara bunden till sin ansökan t o m 2014-02-27 Avtalsform Ramavtal Avtalstid fr. o m Avtalstid t o m Möjlighet till förlängning Avtalet träder ikraft när det undertecknats av båda parter 4 år från och med den dag då avtalet träder i kraft 1+1+1 år Ansökan avser Ramavtal för Teletekniska säkerhetssystem samt drift och underhåll av säkerhetssystem för Polismyndigheten i Stockholms län 1 INLEDNING Rikspolisstyrelsen (RPS) är central förvaltnings- och tillsynsmyndighet för Polisen. I Polisens organisation ingår förutom RPS, Statens kriminaltekniska laboratorium samt 21 polismyndigheter. RPS genomför rubricerad upphandling för Polismyndigheten i Stockholms län (Polismyndigheten) räkning och inbjuder er att ansöka om att få lämna anbud. Upphandlingen avser ramavtal köp av entreprenader, tjänster och varor avseende Teletekniska säkerhetssystem samt drift och underhåll av säkerhetssystem omfattande utbyte och kompletteringar av befintliga installationer inom befintliga fastigheter, se även under 2.1 Omfattning. Inbjudan sker genom annonsering i databasen http://www.mercell.se, Tender Electronic Daily (TED) samt genom publicering av denna ansökningsinbjudan jämte bilagor (Ansökningsinbjudan) på RPS upphandlarprofil: http://www.polisen.se/sv/aktuellt/aktuella-upphandlingar Postadress Box 12256 102 26 STOCKHOLM Besöksadress Polhemsgatan 30 STOCKHOLM Telefon 114 14 E-post rikspolisstyrelsen@rps.police.se Org.nr 202100-0076 Hemsida www.polisen.se Telefax 08-401 97 15 v4.5.16_1

Anbudssökande är själv skyldig att kontrollera att fullständig Ansökningsinbjudan erhållits. Ansökningsförfarandets omfattning och de krav som ställs på anbudssökande framgår av denna Ansökningsinbjudan. Om behov av klargörande uppstår önskar RPS erhålla eventuella frågor skriftligen, per e-post ställda till ansvarig upphandlare: Bo Stålhammar E-post: bo.stalhammar@polisen.se Sista dag att inkomma med frågor är 2013-05-17. Sista dag RPS lämnar svar på inkomna frågor är 2013-05-22. Endast skriftliga svar från RPS ska anses utgöra del av Ansökningsinbjudan. Alla som ansöker om att få lämna anbud kommer att delges samtliga inkomna frågor och avgivna svar. Detta sker genom att frågor och svar löpande publiceras på RPS upphandlarprofil och det är anbudssökandes skyldighet att hålla sig uppdaterad i upphandlingen genom att frekvent gå in och se vad som där publicerats i upphandlingen. 2 INFORMATION 2.1 Omfattning Varor och tjänster som avropas på detta ramavtal ska utföras enligt ABT 06. Ramavtalets omfattning avser delar av Polismyndighetens teletekniska säkerhetssystem. Säkerhetssystemen omfattar i huvudsak följande delsystem: - Flerfunktionsnät för säkerhetssystem. - Centraliserat övervaknings- och redovisningssystem. - Inbrott- och överfallslarmsystem. - Områdeslarmsystem. - Entré- och passerkontrollsystem Passerkontrollsystem. - Entré- och passerkontrollsystem Elektroniskt nyckelsystem. - Snabb-, hiss- och porttelefonsystem. - Snabbtelefonsystem, celltelefon. - Trådlöst signalsystem, överfallslarm. - Bildöverföringssystem TV- övervakingssystem. - Automatiska Brandlarmsystem. Ramavtalet omfattar säkerhetssystem inom ca 15 fastigheter inom Stockholms län. Ovan redovisade delsystem finns i varierande omfattning inom av Polismyndigheten förhyrda fastigheter. I huvudsak har samtliga befintliga system installerats av företaget Nordic Alarm AB med de fabrikat och typer av teknisk utrustning som företaget Nordic Alarm AB har i sitt produktsortiment. Arbeten ska utföras efter successiva avrop med i ramavtalet överenskomna priser för tjänster och varor. För de teletekniska säkerhetssystemen finns i dag på en del av objekten tecknat gällande avtal för "Drift och underhåll " med ett antal olika leverantörer. Dess avtal är baserade på befintlig omfattning av säkerhetssystemen. Avtalens löptid varierar mellan de olika avtalen. När Sida 2(10) Ansökningsinbjudan

befintliga avtal löper ut ska det ingå i detta ramavtal att överta samtlig drift och underhåll av säkerhetssystemen inom fastigheter ingående i detta ramavtal. För de teletekniska säkerhetssystemen som avropas på detta avtal, ska drift och underhåll ingå i detta ramavtal. Detta innebära att avrop på en komplettering av t ex en kortläsare i en fastighet ska omfattas av dessa krav där övriga teletekniska säkerhetssystem ingår i nu gällande avtal för drift och underhåll. I kommande förfrågningsunderlag kommer att redovisas respektive befintligt avtal och när dessa går ut. 2.2 Förutsättningar för upphandlingen Ingen som ansöker om att få lämna anbud kommer att få delta i upphandlingens steg 2 om inte ett Säkerhetsskyddsavtal (nivå 1) vid säkerhetsskyddad upphandling SUA, (se bilaga 2) tecknats mellan parterna, företagets förvaringsmöjligheter m m godkänts samt berörda personer blivit godkända i säkerhetsprövningen. 2.3 Personuppgiftslagen (PUL) I enlighet med personuppgiftslagen (SFS 1998:204) lämnas här information om att samtliga personuppgifter som begärs in i denna upphandling endast kommer att användas i syfte att kunna vidimera i anbud angivna kravuppfyllelser. Uppgifterna blir efter avslutad upphandling att anses som allmän handling såvida inte 7.9 nedan eller säkerhetsskyddslagen (SFS 1996:627) kan bli tillämplig. Det ankommer på anbudssökande att informera samt inhämta godkännande från berörda personer om detta förfarande. 2.4 Avtalstid Ramavtalet träder i kraft från och med dagen då det undertecknats av båda parter och gäller i fyra (4) år. Polismyndigheten äger rätt men ej skyldighet att förlänga ramavtalet upp till tre (3) år med ett (1) år i sänder. 2.5 Servicebesök Krav på service, inställelsetider och revisioner m m kommer att framgå av förslag till avtal för drift och underhåll, säkerhetssystem m m vilket kommer att biläggas förfrågningsunderlaget i steg 2. 2.6 Utbildning Entreprenören ska instruera och utbilda beställarens personal för den utrustning som installeras. Målet är att utbildad personal ska känna till utrustningen och kunna bruka den på ett säkert, effektivt och ekonomiskt sätt. 3 RAMAVTAL Polismyndigheten har för avsikt att teckna ramavtal med en (1) entreprenör. Sida 3(10) Ansökningsinbjudan

Rätt att beställa från ramavtalet tillkommer Polismyndigheten. 4 SELEKTIVT FÖRFARANDE 4.1 Antagning Om möjligt kommer minst tre (3) anbudsansökningar som uppfyller samtliga skall-krav i denna ansökningsinbjudan att få vara med och lämna anbud i steg 2. Polisen förbehåller sig rätten att gå vidare i upphandlingen även om färre än tre (3) kvalificerar sig. 4.2 Anbudshantering De anbudssökande som blir godkända enligt punkten 5 kommer preliminärt under augusti/september 2013 att erhålla ett komplett förfrågningsunderlag. Tiden för lämnande av anbud kommer att vara minst 42 arbetsdagar. Förfrågningsunderlag kommer att kunna avhämtas hos RPS eller hos av RPS godkänt konsultföretag av i ärendet SUA-godkänd person. Tilldelningsbeslut beräknas att kunna skickas ut i dec 2013. Samtliga angivna tider är uppskattade och RPS förbehåller sig rätten att justera tiderna. 5 KRAV PÅ ANBUDSSÖKANDEN De krav som ställs på den anbudssökande och dess eventuella underentreprenörer (UE) framgår nedan. Samtliga krav som ställs nedan gäller anbudssökande som UE förutom punkterna 5.1, 5.4 och 5.5 som endast gäller för anbudssökande. 5.1 Företagsuppgifter Anbudssökanden skall fylla i ansökningsformulär (bilaga 1) och foga till ansökan. 5.2 Uteslutningsgrunder Anbudssökanden skall vara fri från hinder för deltagande enligt 11 kap. 1-2 LUFS och lämna fullständiga och korrekta uppgifter i anbudsansökan samt ej utelämna information av betydelse för selekteringsförfarandet. Anbudssökanden skall intyga att kravet enligt ovan är uppfyllt genom att underteckna (bilaga1) och foga den till ansökan. I det fall anbudssökande avser anlita UE skall av denne behörig person underteckna bilaga 5 Sanningsförsäkran underentreprenör och anbudssökande skall sedan bifoga den i sin ansökan. I det fall flera UE anlitas får anbudsökare mångfaldiga bilaga 5. Till UE räknas även bolag som ingår i anbudssökandes koncern eller liknande och som har ett annat organisationsnummer än anbudssökande. 5.3 Register-/tillståndskontroll Anbudssökande och eventuella UE skall uppfylla i Sverige eller i hemlandet lagenligt ställda krav avseende registrerings-, skatte- och avgiftsskyldigheter. RPS kommer via Skatteverket och Kronofogdemyndigheten kontrollera detta för svensk anbudssökande/ue. Utländsk anbudssökande/ue skall bifoga handling/-ar med motsvarande information som Skatteverkets Blankett SKV 4820 utfärdade av behörig officiell myndighet i hemlandet. Handling/-arna får ej vara äldre än tre (3) månader från den sista dagen att inkomma med anbudsansökan. Sida 4(10) Ansökningsinbjudan

I det fall anbudssökanden och eventuell UE är skyldig att vara registrerad i aktiebolags- eller handelsregister eller motsvarande register som förs i det land där anbudssökandens verksamhet är etablerad skall anbudssökanden/ue vara registrerad. Rikspolisstyrelsen kommer via InfoTorg kontrollera detta för svensk anbudssökande och av honom angivna svenska UE. Svensk anbudssökanden skall efter begäran från Rikspolisstyrelsen inkomma med en kopia av registreringsbevis utfärdat av Bolagsverket (även för eventuell svensk UE). Utländsk anbudssökande/ue kan visa detta genom att bifoga anbudsansökan intyg med motsvarande uppgifter eller om sådana intyg inte kan erhållas i det land i vilken anbudssökanden/ue har sin verksamhet genom att avge en utsaga på heder och samvete. Inlämnade och efter begäran infordrade handlingar enligt denna punkt får ej vara äldre än tre (3) månader från den sista dagen att inkomma med anbudsansökan alternativt räknat från datum för begäran. 5.4 Ekonomisk ställning 5.4.1 Kapacitet Anbudsökanden skall ha en sådan ekonomisk kapacitet att han kan upprätthålla ett långsiktigt ramavtal med Polismyndigheten. Anbudssökanden skall styrka uppfyllelse av kravet genom att bifoga anbudsansökan ett utdrag från affärs- och kreditupplysningsföretaget UC AB (som visar att anbudssökanden har erhållit riskklass 3 eller högre, beräknat på värden redovisade vid utgången av det senast registrerade och avslutade räkenskapsåret) eller utdrag från likvärdigt affärs- och kreditupplysningsföretag (som visar att anbudssökanden har erhållit motsvarande riskklass). I det fall anbudssökanden har godtagbara skäl för att inte inkomma med efterfrågade handlingar eller om anbudssökandens erhållna riskklass är lägre än 3 eller motsvarande skall anbudssökanden istället visa sin ekonomiska kapacitet genom att bifoga antingen: a) en moderbolagsgaranti eller likvärdig garanti, utfärdad av anbudssökandens moderbolag eller annan garant som uppfyller kravet i första stycket i denna punkt, i vilken anbudssökandens åtaganden enligt avtalet garanteras som för eget åtagande; eller b) en redovisning av anbudssökandens revisor, eller annan fysisk eller juridisk person med insyn i anbudssökandens ekonomi, som visar att anbudssökanden kan upprätthålla ett långsiktigt avtal. Begärda handlingar i denna punkt får ej vara äldre än tre (3) månader från den sista dagen att inkomma med anbudsansökan. RPS kommer att genomföra en individuell prövning av varje anbudssökandes redovisade ekonomiska kapacitet. 5.4.2 Omsättning Anbudssökanden skall under de två (2) senast föregående och avslutade räkenskapsåren haft en genomsnittlig nettoomsättning om minst 10 miljoner kronor (SEK). Detta skall styrkas genom att till ansökan bifoga årsredovisningar innefattande efterfrågade uppgifter. Sida 5(10) Ansökningsinbjudan

5.5 Teknisk och yrkesmässig kapacitet 5.5.1 Tidigare åtaganden Anbudssökande skall inge två (2) Referensblad, BILAGA 4 a-b, som styrker att anbudssökande har utfört två (2) entreprenader under de senaste fem (5) åren som till omfattning och utförande liknar det som efterfrågas samt att dessa har utförts på ett tillfredsställande sätt. För att uppfylla kravet om att entreprenaderna har utförts på ett tillfredställande sätt skall snittbetyget för vardera referensblad vara tre (3) poäng eller högre. Referensbladen skall innehålla samtliga efterfrågade uppgifter. Anbudssökande skall själv ombesörja för att referenternas omdömen fylls i formuläret. RPS kan komma att kontakta angivna referensperson för att verifiera lämnade uppgifter. 5.5.2 Kvalitetssäkring För att kunna säkerställa kvaliteten på avtalets genomförande och färdigställd byggnation krävs bland annat att anbudssökande skall arbeta efter ett kvalitetssystem, antingen i form av en ISO9000-certifiering eller i form av ett eget dokumenterat kvalitetssystem. Anbudssökande skall styrka att kravet uppfylls genom att bifoga anbudet antingen intyg om certifiering eller en redovisning av den egna kvalitetssäkringen av verksamheten. Minst följande skall då framgå: a) kvalitetspolicy b) allmän beskrivning av kvalitets mål c) allmän beskrivning av kvalitetssäkring. 5.5.3 Miljöskyddsåtgärder För att kunna säkerställa miljöarbetet i avtalet genomförande sker på ett effektivt och rationellt sätt krävs bland annat att anbudssökande skall arbeta efter ett miljöledningssystem, antingen i form av en ISO14001-certifiering eller i form av ett eget dokumenterat miljöledningssystem. Anbudssökande skall styrka att kravet uppfylls genom att bifoga anbudet antingen intyg om certifiering eller en redovisning av det egna miljöledningssystemet för verksamheten. Minst följande skall framgå: a) miljöpolicy b) allmän beskrivning av miljömål c) allmän beskrivning av miljösäkring. Sida 6(10) Ansökningsinbjudan

6 URVALSFÖRFARANDE Endast de krav som ställts i Ansökningsinbjudan med bilagor kommer att kontrolleras. Ansökningsinbjudan med bilagor innehåller ett antal skall-krav. En förutsättning för att ansökan skall kunna godkännas är att samtliga skall-krav är uppfyllda. RPS kommer att pröva samtliga inkomna ansökningar i tre (3) på varandra följande steg enligt nedan: 6.1 Uteslutning och kvalificering Vid kvalificeringen sker en prövning om anbudsgivare uppfyller de ställda kvalifikationskraven i punkten 5 Krav på anbudssökande samt om ansökan är korrekt inlämnad och innehåller all den dokumentation och de uppgifter som infordrats. De anbudsgivare som uppfyller kvalifikationskraven och vars ansökan är korrekt inlämnad har kvalificerat sig för nästa steg (6.2). 6.2 Selektering Urval Här kontrolleras att ansökan uppfyller övriga i Ansökningsinbjudan med bilagor ställda skallkrav. Minst tre (3) ansökningar som även uppfyllt dessa skall-krav kommer att få möjlighet att lämna anbud om även kraven enligt SUA (6.3) uppfylls. Polismyndigheten förbehåller sig rätten att gå vidare i upphandlingen även om färre än tre (3) kvalificerar sig. 6.3 Säkerhetsskyddsavtal och registerkontroll De anbudssökande som uppfyllt kraven i kapitel 5.1 "Förutsättning, steg 1" och 5.2 "Förutsättning, steg 2" kan komma att antas som anbudsgivare och bjudas in till anbudsgivning. Dessa kommer då att erhålla ett förfrågningsunderlag som innehåller hemliga uppgifter med hänsyn till rikets säkerhet och skyddet mot terrorism. En förutsättning för att anbudssökanden ska kunna bli antagen som anbudsgivare och erhålla förfrågningsunderlaget är att anbudssökanden har tecknat ett säkerhetsskyddsavtal (SUA-avtal) med Polismyndigheten, se bilaga 2 Säkerhetsskyddsavtal (nivå 1)" och företagets lokaler och förvaringsmöjligheter m m godkänts av Polismyndigheten samt att en godkänd säkerhetsprövning och registerkontroll genomförts. Anbudssökanden skall acceptera samtliga säkerhetsskyddsvillkor utan reservationer, ändringar eller tillägg. Acceptans av säkerhetsskyddsvillkoren skall bekräftas genom att bifoga anbudsansökan bilaga 1 Ansökningsformulär-Ramavtal, Telesäk- Stockholms län undertecknad av behörig företrädare för anbudssökanden. De anbudssökandena som blir aktuella kommer att bli kontaktade av RPS för ett företagsbesök. Vid detta besök kommer Polismyndigheten att inspektera de lokaler och den utrustning som anbudssökanden avser använda för att förvara och hantera handlingarna. Anbudssökanden kommer att beredas möjlighet att på egen bekostnad anpassa sina lokaler och sin utrustning så att de uppfyller Polismyndighetens krav för att få kvarstå som anbudssökanden. Vid detta möte ska anbudssökandes säkerhetsskyddschef/säkerhetsskyddsansvarige vara närvarande. Säkerhetsskyddschefen/säkerhetsskyddsansvarige skall namnges i ansökan. Till detta möte ska också en lista med namn och personnummer på företagets verkställande Sida 7(10) Ansökningsinbjudan

direktör samt de personer som initialt kommer att arbeta med de hemliga handlingarna tas fram och överlämnas/översändas till Polismyndigheten. Om Polismyndigheten inte inom rimlig tid (två veckor från begäran om detta) bereds möjlighet till sådant möte kan det hända att anbudssökanden inte kommer att godkännas som anbudsgivare. Polismyndighetens krav på anbudsgivare enligt stycke tre ovan (avser SUA-nivå 1) är men inte begränsade till att: det skall finnas ett säkerhetsskåp enligt SS3492 för förvaring av hemliga handlingar ingående i anbudsgivningen. Tillgång till säkerhetsskåpet får endast de som gjorts behöriga till att få del av förfrågningsunderlaget ha, det/de utrymmen där handlingarna hanteras skall ha individuell låsning och endast behöriga för anbudsräkningen får ha tillgång till nyckel/kod för komma in i utrymmet, det skall finnas upprättade rutiner för att säkerställa att utrymmet låses vid kortare frånvaro (om skyddsvärda handlingarna ligger framme) t ex. vid toalettbesök, kortare kafferast med uppsyn över rummet etc. Vid längre frånvaro, t ex. lunch skall handlingarna låsas in i säkerhetsskåpet. Handlingar som hanteras digitalt skall hanteras i en PC som ej är kopplad till ett nätverk (standalone med löstagbar hårddisk), det skall finnas upprättad rutin för att PC:n skall låsas in i säkerhetsskåpet när den inte används (används krypterat USB-minne eller löstagbar hårddisk räcker det att dessa lagringsmedia låses in i säkerhetsskåpet), det skall finnas upprättade rutiner som föreskriver att inga hemliga handlingar får skickas med E-post mellan behöriga personer, krav kan komma att ställas på att förvaringsutrymmen, rum och/eller säkerhetsskåp, ska skyddas med ett inbrottslarm och ett passerkontrollsystem. Anbudsgivaren ska ha egen rådighet över larm- och passersystemet. Krav kan ställas på att larmet överförs via skyddad och övervakad ledning till en bevakningscentral med utryckningsverksamhet. Då Polismyndigheten i förväg ej har kännedom om hur tilltänkta lokaler ser ut kan efter företagsbesöket andra åtgärder av byggnads- eller säkerhetsskyddstekniskkaraktär bli aktuellt beroende på fastighetens placering, berörda lokalers placering i fastigheten samt annan hyresgäst behöva (på anbudssökandens egen bekostnad) vidtas innan anbudssökanden kan anses vara kvalificerad att deltaga i upphandlingen. 6.3.1 Säkerhetsskyddsavtal och registerkontroll i fortsatt anbudsgivning och kommande avrop. Samtliga UE som anbudssökande vill anlita i fortsatt anbudsgivning och i kommande avtalsförhållande ska teckna egna säkerhetsskyddsavtal med Polismyndigheten. Säkerhetsprövning och registerkontroller kommer att utföras. Företag och personer som ej blir godkända efter sådan kontroll ska ej kunna få tillgång till hemliga handlingar rörande anbudsförfarandet eller ramavtal. Sida 8(10) Ansökningsinbjudan

Säkerhetsskyddsavtal; 1. Nivå 1 är för de företag som kommer att hantera och förvara hemlig handling i sina egna lokaler godkända av Polismyndigheten. 2. Nivå 2 är för de företag som kommer att hantera hemlig handling hos Polismyndigheten och/eller i annans av Polismyndigheten godkänd lokal. 3. Nivå 3 är för de företag som inte kommer att hantera hemlig handling men som på grund av sin närvaro på platsen kan komma att få ta del av hemlig uppgift. Beroende på UE:s åtagande är något av ovanstående tre säkerhetsskyddsavtal tillämpliga för tecknande mellan underentreprenören och Polismyndigheten. Polismyndigheten bedömer nivån på SUA-avtalet utifrån underentreprenörens åtagande. 7 ADMINISTRATIVA BESTÄMMELSER 7.1 Upphandlingsförfarande Vid denna upphandling tillämpas selektivt förfarande, vilket innebär att Polismyndigheten bjuder in (om möjligt) minst tre (3) leverantörer som har uppfyllt samtliga skall-krav att lämna anbud. 7.2 Anbudsansökans uppställning Anbudsansökan bör följa dispositionen i denna Ansökningsinbjudan. 7.3 Anbudsansökans språk All dokumentation i detta upphandlingsärende inklusive all korrespondens skall vara på svenska. 7.4 Anbudsansökans form Anbudsansökan, inklusive bilagor, skall lämnas skriftligen i en (1) originalhandling. Det är inte möjligt att lämna anbudsansökan via telefax eller e-post. 7.5 Anbudsansökan försändelse Anbudsansökan skall lämnas i en sluten neutral försändelse försedd med diarienummer HD- PVS-20/13 samt texten ANBUDSANSÖKAN- Ramavtal, Telesäk-Stockholms län som bekräftelse på att försändelsen innehåller ansökan om att lämna anbud. 7.6 Anbudsansökans avlämnande Anbudsansökan skall vara RPS tillhanda senast den 27 maj 2013 Anbudssökanden svarar för att anbudsansökan är inkommet i rätt tid. För sent inkomna anbudsansökningar kommer inte att beaktas. Anbudsansökan skickas till: Rikspolisstyrelsen Registratorskontoret Box 12256 102 26 Stockholm Sida 9(10) Ansökningsinbjudan

Anbudsansökan kan även skickas med bud eller avlämnas personligen till RPS på Polhemsgatan 30 fram till kl. 23:59 den 27 maj 2013. 7.7 Ansökans giltighetstid Anbudssökande skall vara bunden av sin ansökan till och med 31 december 2013. Acceptans av ansökans giltighetstid bekräftas i ansökan genom undertecknande av bilaga 1. 7.8 Kostnader i samband med anbudsansökan Anbudssökanden äger inte rätt till ersättning för anbudsansökan eller för kostnader i samband med anbudsansökan. 7.9 Offentlighetsprincipen Som myndighet omfattas Polismyndigheten av offentlighetsprincipen. Offentlighetsprincipen innebär att allmänheten har rätt att ta del av till myndigheten inkomna handlingar. För att en uppgift i en sådan handling ska kunna hemlighållas måste stöd finnas i offentlighets och sekretesslagen (2009:400). Efter det att en upphandling avslutats är inkomna anbud som huvudregel offentliga. Av 31 kap. 16 offentlighets och sekretesslagen följer dock att sekretess gäller för uppgift i anbud som rör anbudssökandes affärs- eller driftsförhållanden, om det av särskild anledning kan antas att anbudssökande lider skada om uppgiften röjs. Det ankommer på Polismyndigheten att pröva en begäran om att få ta del av anbud. För att underlätta eventuell sekretessprövning ombeds anbudssökande att i anbudet skriftligen: a) begära att viss uppgift skall hållas hemlig; b) ange vilken/-a uppgift/-er som skall gälla som skyddsvärda ; c) ange vilken skada anbudssökande skulle lida om uppgiften röjdes. En sekretessprövning kan endast ske i samband med en begäran från allmänheten om att få ta del av anbud. Ett beslut om att sekretessbelägga anbud eller vissa uppgifter i ett anbud kan överklagas och prövas i domstol. Bo Stålhammar Bilagor 1. Bilaga 1, Ansökningsformulär-Ramavtal, Teletekniska säkerhetssystem, Stockholms län 2. Bilaga 2, Säkerhetsskyddsavtal (nivå 1) vid säkerhetsskyddad upphandling, med bilaga A och B 3. Bilaga 3, Förslag till säkerhetsskyddsinstruktion 4. Bilaga 4a-b, Referensblad 5. Bilaga 5 Sanningsförsäkran underentreprenör Sida 10(10) Ansökningsinbjudan

HD-PVS-20/13 1 BILAGA 2 SÄKERHETSSKYDDSAVTAL (nivå 1) mellan Polismyndigheten i Stockholms län, (202100-0076), 106 75 Stockholm som företräder staten, nedan kallad Myndigheten och Företaget AB (org.nr), adress, postadress, nedan kallat Företaget träffar följande avtal om säkerhetsskydd 1 Bakgrund Myndigheten och företaget avser att ingå ett avtal avseende att: Företaget ska få del av förfrågningsunderlag HD-PVS-20/13 angående projekt Teletekniska säkerhetssystem samt drift och underhåll av säkerhetssystem för Myndigheten. Ramavtal avseende köp av tjänster och varor för Teletekniska säkerhetssystem samt drift och underhåll av säkerhetssystem, omfattande utbyte och kompletteringar av befintliga installationer för Myndigheten. Uppdraget innebär att Företaget i sina egna lokaler kommer att hantera och förvara hemliga uppgifter. Säkerhetsskyddet ska förebygga; att hemliga uppgifter obehörigen röjs, ändras, görs otillgängliga för behöriga eller förstörs (informationssäkerhet) att obehöriga får tillgång till hemliga uppgifter eller verksamhet som har betydelse för rikets säkerhet eller till skydd mot terrorism (tillträdesbegränsning), och att personer som inte är pålitliga från säkerhetssynpunkt deltar i verksamhet som har betydelse för rikets säkerhet eller till skydd mot terrorism (säkerhetsprövning) Andra säkerhetsskyddsåtgärder är utbildning och kontroll. Detta avtal avser säkerhetsskydd för uppgifter som på Myndigheten omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400) och som rör rikets säkerhet och skyddet mot terrorism. En sådan uppgift benämns fortsättningsvis hemlig uppgift. En hemlig uppgift kan framgå av en handling, ett visst förhållande, en anläggning eller föremål av olika slag. 2 Avtalets omfattning, Detta säkerhetsskyddsavtal tillsammans med Företagets säkerhetsskyddsinstruktion reglerar vilka säkerhetsskyddsåtgärder som Företaget ska vidta i samband med Uppdraget. De ekonomiska villkoren avseende Uppdraget regleras i ett kontrakt, nedan kalla Affärsavtalet.

2 Detta säkerhetsskyddsavtal är en förutsättning men utgör ingen utfästelse eller garanti för att Myndigheten ska teckna Affärsavtal med Företaget. Om det förekommer motstridiga uppgifter i Affärsavtalet gäller detta säkerhetsskyddsavtal framför Affärsavtalet. Motsvarande skrivning ska även tas in i Affärsavtalet. Företaget får endast använda underleverantörer som har tecknat säkerhetsskyddsavtal med Myndigheten. 3 Säkerhetsskyddsorganisation Det ska finnas en säkerhetsskyddschef och en ställföreträdande säkerhetsskyddschef på Företaget. Säkerhetsskyddschefen ska i Uppdragets säkerhetsskyddsfrågor vara direkt underställd Företagets ledning. Säkerhetsskyddschefen leder säkerhetsskyddsverksamheten inom Företaget och är kontaktperson i säkerhetsskyddsfrågor gentemot Myndigheten. På Företaget ska det även finnas en systemsäkerhetsansvarig för IT-system som är avsedda för behandling av hemliga uppgifter.. 4 Säkerhetsskyddsåtgärder Företaget ska upprätta en säkerhetsskyddsinstruktion när säkerhetsskyddsavtalet har undertecknats. Säkerhetsskyddsinstruktionen inklusive eventuella förändringar eller tillägg i säkerhetsskyddsinstruktionen ska godkännas av Myndigheten. Företaget ska dokumentera de säkerhetsskyddsåtgärder som har vidtagits i Uppdraget. 5 Behörighet Behörig att ta del av hemliga uppgifter är endast personer som; bedöms pålitliga från säkerhetssynpunkt har tillräckliga kunskaper om säkerhetsskydd behöver uppgifterna för sitt uppdrag eller arbete i den verksamhet där de hemliga uppgifterna förekommer Hemliga uppgifter får endast delges personer som har säkerhetsprövats och godkänts av Myndigheten. 6 Informationssäkerhet Myndigheten ska klargöra för Företaget i vilken utsträckning handlingar med mera som överlämnas till Företaget innehåller hemliga uppgifter. Om hemliga uppgifter uppkommer under Uppdragets utförande på Företaget, ska Företaget vidta de säkerhetsskyddsåtgärder som är nödvändiga. Företaget ska utan dröjsmål meddela Myndigheten om hemliga uppgifter har uppkommit samt vilka säkerhetsskyddsåtgärder som har vidtagits. Myndigheten ska alltid godkänna utrymmen som används vid hantering och förvaring av hemliga uppgifter. Hemliga uppgifter får endast hanteras i IT-system som har godkänts för sådan hantering av Myndigheten. Beträffande hemliga uppgifter i IT-miljö gäller för Uppdraget bestämmelserna i bilaga 1. Företaget bör klargöra för Myndigheten i vilken utsträckning uppgifter avseende affärs- eller driftsförhållanden som överlämnas till Myndigheten är att anses som hemliga, samt varför Företaget

kan komma att lida skada om dessa röjs (enligt offentlighets- och sekretesslagen [2009:400]). Företaget är dock medvetet om att Myndigheten ändå kan vara skyldig att lämna ut sådana uppgifter. 3 Företaget får inte utan Myndighetens tillstånd lämna uppgifter till massmedia som rör Uppdraget och som enligt Myndigheten innehåller hemlig uppgift. Detsamma gäller för publicering i broschyrer, tidskrifter, böcker, filmer etc., samt vid föredrag, utställningar och förevisningar dit personer som inte är behöriga ( 5) har tillträde. Företaget får inte utan Myndighetens tillstånd offentliggöra att de träffat ett säkerhetsskyddsavtal. Denna information får därmed inte användas i marknadsföring eller på annat sätt. 7 Tillträdesbegränsning Myndigheten ska i samråd med Företaget fastställa nivån på tillträdesskyddet för de lokaler och områden eller motsvarande som Företaget avser att använda vid genomförandet av Uppdraget. Detta ska ske innan Företaget får del av hemliga uppgifter eller den säkerhetskänsliga verksamheten påbörjas. Företaget får inte utan Myndighetens godkännande byta eller använda andra lokaler, områden eller motsvarande för Uppdragets genomförande. Endast behöriga personer som har godkänts av Myndigheten får ha tillträde till de lokaler, områden eller motsvarande där Uppdraget genomförs. 8 Säkerhetsprövning Innan person får del av hemliga uppgifter ska Företaget genom säkerhetsprövning pröva vederbörandes lojalitet och pålitlighet från säkerhetssynpunkt. Säkerhetsprövningen ska omfatta varje person som får del av hemlig uppgift, oavsett om de blir föremål för registerkontroll enligt säkerhetsskyddslagen (1996:627) eller inte. Säkerhetsprövning ska omfatta en personbedömning samt inhämtande av betyg, intyg och referenser. Är befattningen placerad i säkerhetsklass ska säkerhetsprövningen även omfatta registerkontroll och i vissa fall särskild personutredning. Säkerhetsprövningen ska dokumenteras av Företaget och på begäran lämnas till Myndigheten. Tillsammans med uppgifter som har framkommit vid registerkontroll och särskild personutredning utgör säkerhetsprövningen underlag för Myndighetens beslut om att personen får anlitas. Företaget får inte anlita personen innan Företaget har fått del av Myndighetens beslut. Innan en ansökan om registerkontroll skickas till Myndigheten ska Företaget särskilt informera den person som ska bli föremål för registerkontroll om vad kontrollen innebär. Företaget ska i samband med detta också inhämta personens samtycke till kontrollen. Samtycket ska dokumenteras och förvaras på Företaget. Företaget ska utan dröjsmål anmäla till Myndigheten om en registerkontrollerad person på Företaget lämnar uppdraget. Myndigheten ska utan dröjsmål anmäla till Säkerhetspolisen att personen har lämnat Uppdraget. Företaget ska till Myndigheten anmäla omständigheter som kan vara av betydelse för bedömningen av ensäkerhetsprövad persons lämplighet och pålitlighet.

4 Om en person som har säkerhetsprövats inom ramen för detta säkerhetsskyddsavtal under Uppdragets genomförande befinns olämplig från säkerhetssynpunkt, ska Företaget vidta de åtgärder som är lämpliga för att vederbörande inte ska få tillgång till hemliga uppgifter eller tillträde till lokaler, områden eller motsvarande där säkerhetskänslig verksamhet bedrivs. 9 Intern utbildning och kontroll Myndigheten ska innan Uppdraget påbörjas ge lämplig utbildning i säkerhetsskyddsfrågor till de personer på Företaget som kan komma att få del av hemlig uppgift eller tillträde till lokaler, områden eller motsvarande där säkerhetskänslig verksamhet bedrivs. Därefter ansvarar Företaget för att dessa personer ges behövlig och fortlöpande utbildning. Utbildningen ska bland annat behandla: hot och risker som från säkerhetssynpunkt föreligger mot eller är förknippade med Uppdraget säkerhetsskyddsåtgärder som enligt Företagets säkerhetsskyddsinstruktion ska vidtas mot föreliggande hot och risker Myndigheten kan vid behov och efter särskild framställan medverka i viss utbildning som Företaget ger. Företaget ska fort löpande kontrollera att endast behöriga personer som har godkänts av Myndigheten anlitas och att säkerhetsskyddet avseende informationssäkerhet och tillträdesbegränsning iakttas, samt att skyddsnivån är jämn och tillräckligt hög. Företaget ska omedelbart underrätta Myndigheten om inträffade eller befarade händelser och omständigheter som kan påverka säkerhetsskyddet vad avser Uppdraget och personer som faller under detta avtal. 10 Tillsyn Myndigheten har rätt att kontrollera att de i säkerhetsskyddsinstruktionen redovisade och avtalade säkerhetsbestämmelserna följ. Vid en sådan tillsyn kan Myndigheten biträdas av en representant från Säkerhetspolisen och/eller Försvarsmakten. Tillsynen ska ske under Företagets ordinarie kontorstid eller på plats och tid enligt särskild överenskommelse. Tillsynen får inte vara mer ingripande för Företaget än vad som är nödvändigt. 11 Kostnader Företaget ska bära eventuella kostnader som uppkommer med anledning av detta säkerhetsskyddsavtal om inget annat avtalats i Affärsavtalet. 12 Övrigt Hemliga uppgifter som har tillförts eller uppkommit under Uppdragets genomförande ska även efter att avtalet har upphört, eller till dess att Myndigheten meddelar något annat, omfattas av tystnadsplikt. Företaget ska informera berörd personal om innebörden av tystnadsplikten och säkerhetsskyddet samt se till att personalen undertecknar sekretessförbindelser. Dessa förvaras på Företaget så länge Uppdraget pågår. När Uppdraget är slutfört lämnas sekretessförbindelserna till Myndigheten. Företaget ska utan dröjsmål anmäla till Myndigheten när någon förändring sker beträffande firma, organisationsnummer, styrelse, verkställande direktör, revisor, post- och besöksadress eller telefonnummer. Avser ändringen firma, organisationsnummer, styrelse, verkställande direktör eller revisor ska ett nytt registreringsbevis från Bolagsverket bifogas anmälan. En anmälan ska också

5 göras om ägarförhållandena ändras, om Företaget råkar i ekonomiska svårigheter eller försätts i konkurs. Samtliga handlingar, material eller övrigt som innehåller hemliga uppgifter och som har anknytning till Uppdraget är Myndighetens egendom om inget annat har avtalats. Dessa handlingar eller dylikt ska senast i samband med fullgjort Uppdrag återlämnas till Myndigheten eller vid den tidpunkt som parterna särskilt har kommit överens om. 13 Avtalsperiod Detta säkerhetsskyddsavtal träder i kraft vid undertecknandet och gäller tills vidare eller till dess det skriftligen med en uppsägningstid om tre (3) månader sägs upp av endera parten. Avtalet kan dock inte ensidigt sägas upp till en tidigare tidpunkt än den dag då Uppdraget har slutförts eller alla hemliga uppgifter har återlämnats till Myndigheten. Myndigheten kan dock ensidigt säga upp detta avtal liksom Affärsavtalet med omedelbar verkan om Företaget frångår detta avtal. Detta avtal har upprättats i två (2) likalydande exemplar varav parterna har tagit var sitt. [Ort och datum] [Myndigheten] [Ort och datum] [Företaget AB]............................................. (Namnteckning) (Namnteckning)............................................. (Namnförtydligande) (Namnförtydligande)

HD-PVS-20/13 BILAGA A TILLHÖRANDE SÄKERHETSSKYDDSAVTAL Bestämmelser avseende informationssäkerhet för hemliga uppgifter i IT-miljö 1. ALLMÄNT Denna bilaga innehåller bestämmelser avseende hantering av hemliga uppgifter i IT-miljö som rör Uppdraget. Det som har avtalats avseende hemliga uppgifter gäller även för kvalificerat hemliga uppgifter, om inte annat anges. Hemliga uppgifter får endast hanteras i IT-system som har godkänts för sådan hantering av Myndigheten. Företaget ska samråda med Myndigheten om osäkerhet uppstår angående vad som ska betraktas som hemlig uppgift. Företaget ska dokumentera mål och riktlinjer för säkerheten i IT-system från anskaffning till avveckling. Företaget ska även dokumentera instruktioner för användning, förvaltning och drift av IT-system som är avsedda för behandling av hemlig uppgift. Dokumentationen avseende mål och riktlinjer samt instruktionerna ska godkännas av Myndigheten. IT-system får inte tas i drift förrän Myndigheten har godkänt systemen för behandling av hemlig uppgift. Inför godkännandet ska IT-systemet granskas för att verifiera att det uppfyller kraven på säkerhetsskydd. Vid granskningen är det särskilt viktigt att granska om IT-systemet samverkar med andra IT-system. Granskningen ska ske av annan än den som uppförde systemet. Granskningen ska dokumenteras. 2. IT-SYSTEM FÖR BEHANDLING AV HEMLIG UPPGIFT Ett IT-system kan utgöras av en fristående dator som har en löstagbar hårddisk, eller ett fysiskt separat nätverk med flera datorer. En okrypterad dataförbindelse får användas för hemlig uppgift inom ett område eller en lokal som disponeras av Företaget om Företaget har vidtagit och dokumenterat betryggande åtgärder mot obehörig avlyssning, och om Myndigheten har godkänt detta. Hemlig uppgift får inte behandlas i ett IT-system som har externa nätverkskopplingar om inte Myndigheten har medgett annat. Om Myndigheten medger externa nätverkskopplingar får hemlig uppgift sändas via ett elektroniskt kommunikationsnät endast om ett av Försvarsmakten godkänt signalskyddssystem (kryptosystem) används. Sändningen måste också ske enligt de bestämmelser som gäller för den aktuella sekretessnivån. Det är viktigt att försäkra sig om till vilket IT-system den hemliga uppgiften ska skickas. Samråd ska ske med Myndigheten innan sändning förekommer.

HD-PVS-20/13 3. SYSTEMSÄKERHETSANSVARIG Företaget ska utse en systemsäkerhetsansvarig som ansvarar för säkerheten i det IT-system som ska hantera hemlig uppgift. 4. HANTERING AV ELEKTRONISKA HEMLIGA HANDLINGAR Hemlig uppgift i IT-system ska så långt praktiskt möjligt hanteras på samma sätt som hemlig handling. Hemlig elektronisk handling ska märkas enligt anvisningar i säkerhetsskyddsinstruktionen. En kvalificerad hemlig elektronisk handling får inte skicka elektroniskt. Anvisningar om övrig hantering av hemlig elektronisk handling anges i den av Företaget upprättade och av Myndigheten godkända säkerhetsskyddsinstruktionen. 5. BEHÖRIGHETSKONTROLL OCH SÄKERHETSLOGGNING Om IT-systemet utgörs av ett nätverk ska ett behörighetskontrollsystem användas där alla användare är unikt identifierbara och har ett personligt aktivt kort eller en säkerhetsdosa för att logga in i IT-systemet. Om IT-systemet utgörs av en fristående dator som nyttjas av flera personer ska det vid varje användning finnas ett behörighetskontrollsystem eller föras en förteckning i en kvittenslista. Alternativt kan varje individuell användare ha varsin löstagbar hårddisk. Det ska finnas en förteckning över vilka som har behörighet att använda IT-systemet. Denna förteckning ska sparas för att spårbarhet ska kunna uppnås i efterhand. Förteckningen ska överlämnas till Myndigheten när Uppdraget är avslutat. IT-systemet ska logga användaridentitet, datum och tidpunkt för inloggning och utloggning samt användaraktiviteter i övrigt som är av betydelse för säkerheten i systemet. Företaget ska dokumentera hur säkerhetsloggar ska analyseras. Myndigheten ska godkänna anvisningarna. Säkerhetsloggarna ska överlämnas till Myndigheten när Uppdraget är avslutat. 6. SKYDD MOT SKADLIG KOD Innan ny information tillförs IT-systemet ska informationen kontrolleras så att den inte innehåller skadlig kod. Programvara som skyddar mot skadlig kod ska uppdateras kontinuerligt. Företaget ska dokumentera skyddet mot skadlig kod och Myndigheten ska godkänna skyddet. 7. INTRÅNGSDETEKTERING OCH SKYDD MOT INTRÅNG IT-systemet ska vara försett med intrångsskydd och funktioner för intrångsdetektering. Företaget ska dokumentera intrångsskyddet och intrångsdetekteringen, och Myndigheten ska godkänna skyddet och detekteringen. 8. SKYDD MOT RÖJANDE SIGNALER OCH OBEHÖRIG AVLYSSNING Företaget ska analysera och dokumentera behovet av skydd mot röjande signaler. Myndigheten ska godkänna analysen. Om det behövs ska IT-systemet ha ett betryggande skydd mot röjande av signaler. IT-system ska vara försedda med betryggande skydd mot obehörig avlyssning.

HD-PVS-20/13 9. INCIDENTHANTERING Företaget ska dokumentera rutiner för hantering, rapportering och uppföljning av incidenter av betydelse för säkerheten i eller kring ett IT-system. Myndigheten ska godkänna incidenthanteringen. 10. SÄKERHETSKOPIERING Säkerhetskopior ska tas enligt en Företaget dokumenterad rutin, och förvaras avskilt från den plats där det berörda IT-systemet finns. Säkerhetskopiorna ska testas regelbundet och förvaras i ett godkänt säkerhetsskåp. Säkerhetskopiorna bör krypteras. Myndigheten ska godkänna rutinerna för säkerhetskopiering. 11. KONTINUITETSPLAN Företaget ska bedöma och dokumentera den längsta tid som IT-systemet kan vara ur funktion utan att Uppdraget i väsentlig omfattning störs. Företaget ska också bedöma och dokumentera vilken reservrutin som ska användas om det inträffar. Myndigheten ska godkänna kontinuitetsplanen. 12. HANTERING AV UTSKRIFTER Skrivare eller plotter ska vara placerad i nära anslutning till och inom synhåll från den dator där utskriften upprättas. 13. HANTERING AV DIGITALA LAGRINGSMEDIER En dator med inbyggd hårddisk ska vara inlåst i ett godkänt säkerhetsskåp (SS 3492). Har datorn en löstagbar hårddisk ska hårddisken förvaras i säkerhetsskåpet. Även andra lagringsmedier som disketter, CD- eller DVD-skivor och USB-minnen, som innehåller hemlig uppgift, ska förvaras i säkerhetsskåp. Endast behörig personal får ha tillgång till säkerhetsskåpet. Ett lagringsmedium som innehåller eller har innehållit hemlig uppgift får endast återanvändas inom Uppdraget av behörig person. Ett sådant lagringsmedium får endast användas i utrustning som har godkänts för hantering av hemlig uppgift. Ett lagringsmedium som innehåller eller har innehållit hemlig uppgift ska vara försett med en varaktig hemligbeteckning. En förteckning ska föras som beskriver innehållet på lagringsmediet, för att underlätta utredning av vilka uppgifter som har förlorats vid en eventuell förlust av lagringsmediet. Lagringsmedier ska inventeras på samma sätt som hemlig handling. När ett lagringsmedium utrangeras ska det överlämnas till Myndigheten för destruering, alternativt förstöras enligt Myndighetens anvisningar. Ett lagringsmedium får inte lämna Företagets lokaler utan Myndighetens godkännande. Om ett lagringsmedium medförs från Företagets lokaler ska det hållas under omedelbar uppsikt eller förvaras på ett sätt som motsvarar den säkerhetsskyddsnivå som gäller för förvaring av lagringsmediet inom Företagets lokaler. Under transport ska, i förekommande fall, den hemliga uppgiften krypteras med av Myndigheten godkänd kryptoprodukt.

HD-PVS-20/13 14. UNDERHÅLL Vid service och underhåll av lagringsmedier som innehåller hemlig uppgift får Företaget endast använda personal som är behörig att ta del av hemlig uppgift enligt säkerhetsskyddsavtalet.

1(12) FÖRSLAG TILL S Ä K E R H E T S S K Y D D S I N S T R U K T I O N Innehållsförteckning Sida 1. Syfte 2 2. Begreppsförklaringar 2 3. Säkerhetsskyddsorganisation 3 4. Säkerhetsskyddsmän 4 5. Val av personal och underleverantör 4 6. Framställning av hemlig handling 4 7. Registrering 5 8. Kvittering 5 9. Förvaring 6 10. Låskod/Nyckel 6 11. Inventering/Gallring 7 12. Förlust m.m. 8 13. Förstöring m.m. 8 14. Befordran av hemlig handling 8 15. Befordran med bud 9 16. Befordran med post 9 17. Befordran på annat sätt 10 18. Röjande signal (RÖS) 10 19. IT-säkerhet 10 20. Tystnadsplikt/Sekretessbevis 10 21. Tillträdesbegränsning 11 22. Intern utbildning 11 23. Kontroll 11 24. Redovisning 12 25. Övrigt 12