Inrikes

Foto: TT

Professor: Regeringskansliets och Telias säkerhetsskyddsavtal håller inte

Uppdaterad
Publicerad

SVT Nyheter har kunnat visa att Eltel och Cygate, underleverantörer till Telia, under flera år saknat säkerhetsskyddsavtal trots att de utfört underhållsarbete i datahallar med information om rikets säkerhet. Men inte heller det avtal som skrivits med huvudleverantören Telia håller för granskning. 

Telia är huvudleverantör för Regeringskansliets telefoni- och bredbandstjänster. Förutom abonnemang har bolaget även fått ansvar för bland annat service och underhåll av växelsystem och telefoner, fast och mobilt bredband, samt utbyggnad av inomhustäckningen i Regeringskansliets lokaler.

Säljchef har tecknat avtal

Det innebär att bolaget får tillgång till ”uppgifter som rör rikets säkerhet”, enligt det kontrakt och säkerhetsskyddsavtal som skrevs år 2012 och som har förlängts två gånger och fortfarande gäller. Men det är undertecknat enbart av en person på Telia – den dåvarande säljchefen – som inte är behörig att teckna säkerhetsskyddsavtal å bolagets vägnar, enligt professor Daniel Stattin vid Uppsala universitet, och han har enligt Bolagsverkets förteckning över Telias firmatecknare aldrig varit det. 

– Om han hade fått en särskild fullmakt att skriva under det här avtalet borde det ha framgått i kontraktet, säger Daniel Stattin, professor i juridik vid Uppsala universitet. 

Inte begärt fullmakt

Men någon sådan framgår inte av kontraktet. Och när SVT Nyheter begär att få besked om någon fullmakt från Telias styrelse har presenterats för Regeringskansliet, svarar kommunikationsavdelningen att det är regeringskansliets uppfattning att säljchefen ”genom sin position i företaget hade den ställning som krävs för att ha rätt att teckna avtalen för Telias räkning. Regeringskansliet har därför inte begärt in någon fullmakt från bolagets styrelse”.

Telia bekräftar att ingen fullmakt skrivits

”Är man försäljningsdirektör i Telia så har man enligt våra interna regler också rätt att ingå avtal med de kunder man ansvarar för”, skriver pressansvarige Roija Rafii till SVT Nyheter. 

Något som Daniel Stattin, professor i juridik, underkänner helt.

– Om Telia har den interna riktlinjen bryter den mot tystnadsplikten enligt aktiebolagslagen. Interna delegationsordningar kan aldrig innebära att man frångår lagen. Försäljningschefen har inte behörighet att teckna säkerhetsskyddsavtal som innebär att man släpper in utomstående att kontrollera förhållanden i bolaget. Det kan ingen under styrelsenivå göra, säger Daniel Stattin.

Vad innebär det för det säkerhetsskyddsavtal som skrivits?

– Så länge båda parter följer det får det inga direkta konsekvenser, men för att ett avtal ska anses juridiskt hållbart ska det vara undertecknad av behörig firmatecknare, säger Daniel Stattin. 

”Vi får titta närmare på det”

Hur kommer det sig att regeringskansliet inte kontrollerar att behöriga firmatecknare skriver under avtal?

– Vi får titta närmare på om det är så att det inte sker, eller om vi på något sätt behöver stärka den rutinen, säger Ari Stenman, som är Regeringskansliets säkerhetschef. 

Det här är ett säkerhetsskyddsavtal

Alla leverantörer och underleverantörer kommer i kontakt med hemligstämplade uppgifter, eller deltar i verksamhet som har betydelse för rikets säkerhet, måste först teckna ett säkerhetsskyddsavtal.

– Om en myndighet anlitar en leverantör i en verksamhet som kan drabbas av brott mot rikets säkerhet, som till exempel spioneri, ska det enligt lag upprättas och ingås ett säkerhetsskyddsavtal. Dessutom ska leverantörens personal säkerhetsprövas och säkerhetsklassas. Där är lagen glasklar, säger advokat Conny Larsson på Gärde & Partners som är en av Sveriges ledande experter på it-rätt och juridiken kring IT-säkerhet.

Enligt säkerhetsskyddslagen ska samma krav på säkerhetsskydd ska ställas på leverantörer och underleverantörer som i den egna verksamheten. Om en leverantör anlitas för att sköta myndighetens system eller informationshantering så är det i princip otänkbart att detta ska kunna göras utan tillgång till informationen.

– Då räcker det med att myndigheten låter personalen kliva in genom dörren för att säkerhetsskyddsavtal, säkerhetsprövning och säkerhetsklassning ska finnas, säger han.

Säpo gör registerkontroll av personal i belastningsregistret, misstankeregistret och polisens allmänna spaningsregister. En myndighet är skyldig att meddela Säkerhetspolisen när ett säkerhetsskyddsavtal har ingåtts eller upphört att gälla.

Relaterat

Så arbetar vi

SVT:s nyheter ska stå för saklighet och opartiskhet. Det vi publicerar ska vara sant och relevant. Vid akuta nyhetslägen kan det vara svårt att få alla fakta bekräftade, då ska vi berätta vad vi vet – och inte vet. Läs mer om hur vi arbetar.