Hoppa till innehåll

Yttrande avseende remiss av SOU 2025:42 Säkerhetsskyddslagen – ytterligare kompletteringar

Säkerhets- och försvarsföretagen (SOFF) och Teknikföretagen tackar för möjligheten att yttra sig om remissen och lämnar här våra synpunkter på SOU 2025:42, Säkerhetsskyddslagen – ytterligare kompletteringar.

SOFF är en branschförening för företag inom säkerhets- och försvarsområdet med verksamhet i Sverige. SOFF består av ca 350 medlemsföretag med verksamhet inom bland annat försvar, samhällssäkerhet och cybersäkerhet.

Teknikföretagen är arbetsgivar- och branschorganisation för Sveriges teknikindustri och vi representerar ca 4 500 medlemsföretag. Tillsammans står våra medlemsföretag för en tredjedel av Sveriges export. Gemensamt för våra medlemsföretag är att de utvecklar varor och tjänster i världsklass och att försäljning sker i global konkurrens, samtidigt som de löser många av vår tids utmaningar skapar de tillväxt och välstånd i Sverige.

Övergripande inställning till förslagen

SOFF och Teknikföretagen ställer sig positiva till att förslag avseende en utökad möjlighet för staten att ingripa mot avtalsförhållanden och andra förfaranden som kan vara skadliga för Sveriges säkerhet utreds och presenteras. Vidare ställer sig SOFF och Teknikföretagen positiva till förslagen om att fler uppgifter ska ingå i registerkontroller vid säkerhetsprövning.

Dock vill SOFF och Teknikföretagen framföra ett antal invändningar till utredningens förslag som bör beaktas i det fortsatta arbetet, däribland att de konsekvenser som ett ingripande kan få på den kommersiella balansen mellan parterna måste beaktas.

Statliga ingripanden i förfaranden som kan vara skadliga för Sveriges säkerhet

Anmälningsplikt

Säkerhetsskyddslagen har uppdaterats i omgångar och många företag kämpar fortfarande med analysen kring om de bedriver säkerhetskänslig verksamhet eller inte. Bedömningen av säkerhetsskyddslagens tillämplighet är komplex, framför allt för privata aktörer, vilket inte minst bekräftas genom att flera av tillsynsmyndigheterna under senaste året publicerat ytterligare vägledning i frågan.[1] Genom förslaget om anmälningsplikt utökas den administrativa arbetsbördan för verksamhetsutövarna och det finns en risk att administrationen för dessa företag blir omfattande.

För att en sådan administration ska bli hanterbar för verksamhetsutövarna vill SOFF och Teknikföretagen lyfta att det är viktigt att anmälningsplikten och innehållet i anmälan tydligt definieras. Förslagsvis genom exempel som är relaterbara för verksamhetsutövarna. Det ställer höga krav på tillsynsmyndigheterna i att efterfråga rätt typ av uppgifter i anmälan. I den mån anmälningspliktens omfattning och innehållet i en anmälan inte är tydligt definierat för verksamhetsutövarna finns det en risk att få anmälningar kommer in, alternativt att förfaranden som inte är av relevans anmäls, vilket skulle medföra att förslaget blir verkningslöst.

Därtill ser SOFF och Teknikföretagen en risk i att de förfaranden som kommittédirektiven syftar till att komma åt med en utökad ingripandemöjlighet inte är sådana som omfattas av anmälningsplikten, alternativt ändå inte anmäls av verksamhetsutövaren och därmed inte kommer till tillsynsmyndighetens vetskap. Anmälningsplikten skulle då kunna skapa en falsk trygghet om att alla relevanta förfaranden finns noterade hos tillsynsmyndigheten.

Den utvidgade ingripandemöjligheten

Enligt kommittédirektiven skulle ingripanden endast komma i fråga vid ”särskilt känsliga avtal och förfaranden”. SOFF och Teknikföretagens uppfattning är att nuvarande förslag med en ingripandemöjlighet som är kopplad till såväl säkerhetsskyddsavtal som anmälningsplikt innebär att ingripandemöjligheten kommer att bli bred och inte endast kan komma ifråga vid särskilt känsliga avtal och förfaranden. Det kan hanteras i praktiken genom att tillsynsmyndigheten inte ingriper i andra än särskilt känsliga avtal och förfaranden, men SOFF och Teknikföretagen ser en risk med att utredningens förslag inte får den önskade effekten utan medför att ett stort antal förfaranden träffas utan att det var avsikten.

Som förslaget till ingripandemöjlighet utformats blir det avgörande om ett förfarande täcks av ett säkerhetsskyddsavtal eller har anmälts. Ett alternativt förslag är att ha en fristående ingripandemöjlighet, som inte är avhängig att förfarandet täcks av ett säkerhetsskyddsavtal eller har anmälts, och som i stället fokuserar på att sätta upp kriterierna för när ett ingripande får ske. Exempelvis i form av generalklausul som möjliggör för tillsynsmyndigheten att ingripa i alla typer av förfarande, men med tydligt definierade kriterier för vilken typ av fara eller skada och vilka hänsyn som ska beaktas i bedömningen. Vilket förslag till ingripandemöjlighet som bör väljas beror på vilka typer av förfarande som utredningen menar på är viktigast att fånga genom den utvidgade ingripandemöjligheten.

SOFF och Teknikföretagens uppfattning är att i den mån det är svårt att definiera vilka förfaranden den utvidgade ingripandemöjligheten ska träffa, vilket tycks vara fallet i utredningen, är det bättre med en fristående ingripandemöjlighet. En sådan syn verkar till viss del delas av utredningen som lyfter att ”det kan finnas behov av ett nytt rättsligt verktyg för att kunna avvärja eller stoppa säkerhetshotande förfaranden och andra aktiviteter”, i form av en säkerhetsventil när det inte finns någon annan rättslig grund för att förhindra en aktivitet som innebär en risk för nationella säkerhetsintressen.

Vidare ser SOFF och Teknikföretagen att det vore olyckligt om nuvarande förslag till ingripandemöjlighet införs och en ny utredning i närtid kommer till en slutsats om att instifta en säkerhetsventil för att förhindra en aktivitet som innebär en risk för nationella säkerhetsintressen. Nuvarande förslag skulle då kunna bli irrelevant och den administration som ålagts verksamhetsutövarna samt den ökade komplexiteten i regelverket vara en onödig ansträngning. Verksamhetsutövarna har en viktig roll i att tillse Sveriges säkerhet och SOFF och Teknikföretagen vill betona att det är viktigt att resurserna fokuseras rätt.

Konsekvenser för fler aktörer

Utredningen har fokuserat på vad den utökade ingripandemöjligheten får för konsekvenser för verksamhetsutövare och tillsynsmyndigheter. SOFF och Teknikföretagen vill i detta sammanhang lyfta att ett ingripande även kan få konsekvenser för den andra parten i ett förfarande. Ett ingripande kommer troligen att medföra kommersiella konsekvenser och påverka kostnadsfördelningen mellan parterna. Enligt nuvarande lagstiftning kan sådana konsekvenser drabba motparter till säkerhetsskyddsavtal, men med nuvarande förslag utökas den kretsen även till den andra aktören i ett förfarande som ska anmälas. SOFF och Teknikföretagens uppfattning är därför att förslagets konsekvenser för den andra parten i ett förfarande som ska anmälas bör utredas innan man kan nå en slutsats om att en ersättningsrätt inte ska inkluderas.

En särskild problematik som SOFF och Teknikföretagen ser med nuvarande förslag är i relation till offentligt upphandlade kontrakt. Sådana kontrakt får som huvudregel inte ändras och eventuella krav om ingående av säkerhetsskyddsavtal ska framgå av upphandlingsdokumentationen. Om nuvarande förslag till ingripandemöjlighet för anmälningspliktiga förfaranden införs kan, som exempel, en situation uppstå där en tillsynsmyndighet ingriper i ett upphandlat kontrakt (tilldelat innan 2021) och kräver att ett säkerhetsskyddsavtal ingås. Det saknas då reglering av hur sådana kostnader ska fördelas mellan parterna och den kommersiella kostnadsfördelningen riskerar att påverkas. Därtill kan ett sådant ingripande innebära en väsentlig förändring av det upphandlade kontraktet, vilket är otillåtet. En annan problematisk situation som kan uppstå är om det finns ett volymåtagande för den upphandlade myndigheten och tillsynsmyndigheten ingriper genom att förbjuda att mer köps in.

Därtill vill SOFF och Teknikföretagen uppmärksamma att det är mycket svårt, i vissa fall omöjligt, för en verksamhetsutövare att under ett pågående avtalsförhållande begära att en motpart inför säkerhetsskyddsåtgärder. Med nuvarande förslag om ingripandeåtgärder även i förfaranden som omfattas av anmälningsplikt, och därmed inte omfattas av ett säkerhetsskyddsavtal, riskerar verksamhetsutövaren att hamna i en situation där man blir förelagd att vidta åtgärder som i praktiken är omöjliga av kommersiella skäl. I förlängningen skulle det kunna innebära att verksamhetsutövare blir mindre attraktiva som motparter i avtalsförhållanden, mot bakgrund av att tillsynsmyndighetens ingripandeåtgärder möjliggör att parternas kommersiellt avtalade kostnads- och ansvarsfördelning rubbas. Det i sin tur hade inte varit gynnsamt för Sveriges säkerhet.

SOFF och Teknikföretagen vill därför lyfta att nuvarande förslag till ingripandemöjlighet riskerar att leda till flertalet tillämpningsproblem, vilka bör analyseras vidare.

Registerkontroll vid säkerhetsprövning enligt säkerhetsskyddslagen

Säkerhetsprövning under säkerhetsskyddsavtal

Inledningsvis önskar SOFF och Teknikföretagen uppmärksamma det faktum att utredningen i aktuellt avsnitt genomgående resonerar kring säkerhetsprövning kopplad till anställning eller visst deltagande i säkerhetskänslig verksamhet.[2] Det är i sammanhanget viktigt att påminna om att säkerhetsskyddslagens bestämmelser om säkerhetsprövning i 3 kap., enligt 4 kap. 4 § även ska tillämpas vid säkerhetsprövning under säkerhetsskyddsavtal. Sådana situationer involverar varken anställning eller annat deltagande i säkerhetskänslig verksamhet, utan endast tillgång till sådan verksamhet.

Rättslig skyldighet

Vidare vill SOFF och Teknikföretagen lyfta att det uttryckligen bör framgå av lagtext eller förarbeten att en registerkontroll enligt säkerhetsskyddslagen är en rättslig skyldighet. Ett sådant klargörande skulle tydliggöra att det finns en laglig grund under GDPR för att behandla personuppgifter.

Fler uppgifter ska få hämtas vid registerkontroll

Övergripande ställer sig SOFF och Teknikföretagen positiva till förslagen om att fler uppgifter ska ingå i registerkontroller under säkerhetsskyddslagen. Att registerkontrollen blir mer heltäckande skulle precis som utredningen konstaterar sannolikt inte bara innebära träffar som direkt kan leda till att personer underkänns i säkerhetsprövningen, utan även fungera som ett sätt att verifiera det som framkommit i övriga delar av grundutredningen och i vissa fall tydliggöra att den prövade inte har lämnat riktig eller fullständig information under säkerhetsprövningsintervjun. Det skulle också kunna handla om uppgifter som visar på sårbarheter kopplade till medborgarskap eller familjeförhållanden som inte har framkommit under grundutredningen, och som inte nödvändigtvis diskvalificerar en person som prövas men som är nödvändigt för en verksamhetsutövare att ha insyn i för att kunna hantera sårbarheterna. I samtliga delar bedömer SOFF och Teknikföretagen att träffar i registerkontrollen stärker skyddet för Sveriges säkerhet, ett intresse som väger tyngre än den personliga integriteten för den som genomgår säkerhetsprövning eller dess medkontrollerad.

SOFF och Teknikföretagen ställer sig även bakom förslaget kring vilka slags uppgifter som bör ingå i en registerkontroll, men skulle vilja påpeka att det kan finnas ytterligare register som bör omfattas. SOFF och Teknikföretagen ser t.ex. att uppgifter som hanteras hos Bolagsverket skulle vara värdefulla att inkludera i en registerkontroll, eftersom en persons företagsengagemang kan vara värdefull information i en säkerhetsprövning. Information om exempelvis en persons kopplingar till företag med utländskt ägande är av hög relevans i en lämplighetsprövning av en motpart till ett säkerhetsskyddsavtal, men kan definitivt ha betydelse även i en säkerhetsprövning av enskilda individer.

Vissa säkerhetsprövningsbeslut ska anmälas till Säkerhetspolisen

Det utgör idag ett problem att en person som hos en verksamhetsutövare blivit underkänd i en säkerhetsprövning och frånskild från säkerhetskänslig verksamhet, senare kan klara en säkerhetsprövning hos en annan verksamhetsutövare baserat på att den information som låg till grund för underkännandet hos den första aktören inte är känd av den andra. SOFF har i tidigare remissvar[3] förordat införandet av ett klareringssystem och en nationell säkerhetsmyndighet för Sverige. Ett sådant vägval hade inte bara ökat rättssäkerheten på säkerhetsprövningsområdet, det hade även läkt problemet med att en person kan bli underkänd i en säkerhetsprövning hos en verksamhetsutövare men godkänd hos en annan.

I avsaknad av ett klareringssystem där bedömningar hanteras av en central myndighet, skulle emellertid en anmälningsskyldighet vara ett positivt steg. SOFF och Teknikföretagen ställer sig därför bakom utredningens förslag att införa en anmälningsplikt för beslut som innebär att en person inte blir godkänd i en säkerhetsprövning. Däremot delar SOFF och Teknikföretagen inte utredningens bedömning att denna anmälningsplikt ska begränsas till beslut som fattas i ett omprövningsärende, d.v.s. enbart i situationer där en person ursprungligen blivit godkänd i en säkerhetsprövning men vid ett senare skede, i samband med en omprövning eller då något framkommit som föranlett en närmare utredning, har underkänts. SOFF och Teknikföretagen bedömer att det finns ett lika stort behov för verksamhetsutövare att få reda på att en person tidigare har blivit underkänd i en säkerhetsprövning samt omständigheterna som låg bakom beslutet, oavsett om beslutet fattats i en initial säkerhetsprövning vid anställning, annat deltagande eller inför exponering av säkerhetskänslig verksamhet eller då en person redan har deltagit i eller exponerats för den säkerhetskänsliga verksamheten. En person kan orsaka lika stor skada för Sveriges säkerhet, oavsett när i en process beslutet fattades. Det avgörande är omständigheterna bakom. I detta sammanhang är det samtidigt viktigt att framhålla att sådana negativa beslut som anmäls till Säkerhetspolisen och som kan komma att utgöra grund i fler säkerhetsprövningar framåt, måste hålla en viss nivå så att inte ogrundade beslut kan ligga personer till last under många år framåt. Någon form av kvalitetskontroll måste därför säkerställas.

SOFF och Teknikföretagen förordar att en allmän anmälningsplikt till Säkerhetspolisen av beslut som innebär att en person inte klarat säkerhetsprövningen införs tillsammans med krav på kvalitetssäkring av sådana beslut.

Yttrandet har beretts av SOFF:s medlemsgrupp för säkerhetsskydd och Teknikföretagens Public Affairs-grupp.

[1] Därtill finns det ett antal beslut från tillsynsmyndigheter som tar sikte på frågan om en aktör bedriver säkerhetskänslig verksamhet och i så fall hur den ska avgränsas.

[2] Se exempelvis s. 20 där följande går att läsa: ”Säkerhetsprövningen enligt säkerhetsskyddslagen är kopplad till en viss anställning eller ett visst deltagande i verksamhet.”

[3] Se SOFF:s yttrande som svar på Ju2024/02620.