1. Start
  2. Våra sakområden
  3. Säkerhet och beredskap
  4. Säkerhetshandbok för VA-verksamhet
  5. 4.9 Personalsäkerhet

4.9 Personalsäkerhet

Introduktion

Sammanfattning

Personalsäkerhet handlar om att analysera och vidta åtgärder som ska förebygga att personer som inte är pålitliga ur säkerhetssynpunkt har tillgång till känslig information, tillträde till känsliga anläggningar och deltar i säkerhetskänslig verksamhet. Rutiner för personalsäkerhet behöver innefatta såväl egen anställd personal, som konsulter och entreprenörer. Personalsäkerhet ska också säkerställa att de som deltar i säkerhetskänslig verksamhet har tillräcklig kunskap om säkerhetsskyddet.

Personalen är den bärande delen av verksamheten, det är genom en god säkerhetskultur som ett effektivt och fungerande säkerhetsarbete uppnås. En förutsättning för en säker organisation är en välgrundad etik på arbetsplatsen, från den högsta till den lägsta nivån. Se mer om säkerhetskultur i avsnitt 3.2.

Den mänskliga faktorn behöver tas med i riskanalyser. Många skador orsakas av den egna personalen eller av personer som av någon anledning har naturligt tillträde till organisationen, till exempel entreprenörer, städare och bevakningsföretag. Frågan kan hanteras exempelvis genom bakgrundskontroll vid nyanställningar, tydliggörande av moraliska och etiska regler, samt tydliga riktlinjer för hur verksamheten ska bedrivas. 

För verksamhet som omfattas av säkerhetsskyddslagen finns särskilda regler för arbetet med personalsäkerhet. 

4.9.1 Företagskultur

Det enskilt viktigaste skyddet mot inre angrepp uppstår i en företagskultur som uppmuntrar till lojalitet och hög moral. Även om organisationen är stor behöver de anställda uppfatta sig själva som en viktig del av verksamheten. Utbildning och information är viktiga ingredienser i det preventiva arbetet där de anställda behöver bli medvetna om de hot och risker som finns på arbetsplatsen. Informationsarbetet måste vidare bedrivas med eftertanke så att det inte motverkar syftet. Om man målar upp alltför stora hot och risker är det lätt att de anställda resignerar inför uppgiften. 

Personalsäkerheten behöver också följas upp och regelbundna kontroller av säkerheten ska planeras. Det är ett utmärkt styrmedel som skapar bra förutsättningar för att förfina och rätta till fel i regler och rutiner. 

En god arbetsmiljö där chefer och kollegor bryr sig om varandra gör det lättare att upptäcka om någon beter sig annorlunda eller verkar vara under press eller yttre hot. Det innebär en social kontroll i positiv mening. Det finns även lagstadgat skydd för den som rapporterar om missförhållanden i en organisation. Läs mer om visselblåsarlagen i avsnitt 4.9.5 under 4.9.

Risker inom företagskulturen 

Risker i verksamhet kan exempelvis vara konflikter, mobbning och missbruk. Anställda med missbruk kan vara mer mottagliga för utpressning eller råka i ekonomiska svårigheter som de försöker lösa med brottsliga medel. Ledningen har ansvar för att anställda som missbrukar alkohol eller narkotiska preparat får hjälp och rehabilitering. För att kunna hantera missbruksproblem bland de anställda måste det vara tydligt vilken policy som gäller, vad som ska göras vid misstanke eller upptäckt, vart man vänder sig och så vidare. 

4.9.2 Förutsättningar för en säker organisation

Personalsäkerhetsfrågorna behöver, på samma sätt som det övriga säkerhetsarbetet, hanteras på ett systematiskt sätt och integreras i den ordinarie verksamheten. Vattenförsörjning och avloppshantering utgör samhällsviktig verksamhet och det är viktigt att personalen som arbetar i organisationen är kunnig och pålitlig. Åtgärder krävs vid både rekrytering, under anställningstiden och vid en anställnings upphörande. 

Anställningsintervju med bakgrundskontroll 

För att minska risken att anställa personal som skulle kunna utgöra en säkerhetsrisk är det viktigt att ställa säkerhetsrelaterade frågor vid anställningsintervjun. En bakgrundskontroll gör att arbetsgivaren kan få indikationer om risker hos den arbetssökande. Sådana indikationer kan då diskuteras och värderas innan en person kommer in i organisationen. Det är väl investerad tid och kostnad att göra en så grundlig undersökning som möjligt före anställning. Ju fler referenser man tar som kan kvalitetssäkra uppgifterna om personen desto bättre. 

Vanliga bakgrundskontroller är kontroll av CV, ID, domstolsregister och kontroll av skulder och betalningsanmärkningar. Rekryterare kan också be arbetssökanden om utdrag ur belastningsregistret. Den sökanden kan motsätta sig detta, men med risk att den då inte går vidare i anställningsprocessen. Enligt GDPR får man bara behandla information som är relevant för ändamålet. Det innebär att inhämtningen av information blir olika beroende på vilken tjänst som ska tillsättas. Om en person med ledande position ska anställas bör en mer omfattande bakgrundskontroll göras. Enligt kreditupplysningslagen är det bara tillåtet att ta en kreditupplysning om det finns ett legitimt behov av informationen, till exempel för att göra en ekonomisk riskbedömning. 

Arbetsgivaren behöver inte ha den arbetssökandes samtycke för att göra kontroller mot offentliga register, som exempelvis kontroller vid domstolar. Däremot krävs samtycke innan kontroller görs med dennes personnummer. Ett alkohol- och drogtest ska också nämnas i detta sammanhang. Idag är det vanligt bland många arbetsgivare att ha med det. 

Sekretessförbindelse 

För att inga tveksamheter ska råda om vad som är sekretessbelagd och känslig information på arbetsplatsen är det lämpligt att de anställda får skriva under en sekretessförbindelse. Sekretessförbindelsen ska utformas olika beroende på vilken information den anställde har eller kommer att få tillgång till. 

Sekretessförbindelsen bör innehålla:

  • Fullständiga identitetsuppgifter.
  • Beskrivning av omfattning av sekretessen, inklusive vad som förväntas av den anställde.
  • Straff och skadeståndsansvar.
  • Tidpunkt för överenskommelse.
  • Underskrift. 

Det är viktigt att man noggrant går igenom sekretessförbindelsen med den anställde innan den skrivs under. Undertecknandet är för många den första kontakten med organisationens säkerhetspolicy. Vid nyanställning kan det därför vara lämpligt att göra detta i samband med den information man har om säkerhetsföreskrifter. 

Anställnings upphörande 

Det är lämpligt att ha ett avslutande samtal med personal när anställningen upphör. I det samtalet påminner man även om den sekretessförbindelse som man skrev vid anställningens början och att det gäller även efter anställningens slut. När någon slutar ska det finnas rutiner för att begära in nycklar och passerkort, samt för radering av konton som den anställde har haft. 

Personal från konsultbolag eller entreprenörer 

Extern personal som anlitas måste också tas med i säkerhetsarbetet. Konsulter och entreprenörer som har tillgång till sekretessreglerade uppgifter eller känsliga anläggningar måste också bedömas och utbildas ur ett säkerhetsperspektiv. När avtal tecknas med konsulter och entreprenörer är det viktigt att man även skriver ett avtal om sekretess. För att ytterligare understryka vikten av att inte lämna ut sekretessbelagda uppgifter bör man även teckna ett personligt avtal med den enskilde konsulten eller avtalspersonen.

I det personliga avtalet kan man bland annat ta upp: 

  • Sekretess.
  • Passerkort/nycklar.
  • Säkerhetsföreskrifter. 

Om verksamheten till någon del omfattas av säkerhetsskyddslagen behöver säkerhetsskyddsavtal upprättas. Läs mer om detta i avsnitt 4.10.3 under 4.10.

 

 

4.9.3 Personalsäkerhet enligt säkerhetsskyddslagen

Den som till någon del omfattas av säkerhetsskyddslagen behöver vidta särskilda åtgärder rörande personalsäkerhet. Åtgärderna ska förebygga att personer som inte är pålitliga från säkerhetssynpunkt deltar i en säkerhetskänslig verksamhet och för att säkerställa att de som deltar i säkerhetskänslig verksamhet har tillräcklig kunskap om säkerhetsskydd. Personalsäkerhet en del av säkerhetsskyddet. Säkerhetspolisen har en vägledning kring detta, se hänvisning nedan. 

Placering i säkerhetsklass 

Utifrån säkerhetsskyddsanalysen genomför man en befattningsanalys för att identifiera vilka befattningar som bör placeras i säkerhetsklass. Med denna analys som underlag begär verksamhetsutövaren att ansvarig myndighet fattar beslut om placering av en anställning eller uppdrag i säkerhetsklass. Det finns tre säkerhetsklasser, se tabellen nedan.

En anställning eller något annat deltagande i säkerhetskänslig verksamheten ska placeras i respektive säkerhetsklass, om den anställde eller den som på annat sätt deltar i verksamheten. 
Säkerhetsklass 1  Säkerhetsklass 2  Säkerhetsklass 3 
1. i en omfattning som inte är ringa får del av uppgifter i säkerhetsskyddsklassen kvalificerat hemlig, eller
2. till följd av sitt deltagande i verksamheten har möjlighet att orsaka synnerligen allvarlig skada för Sveriges säkerhet. 		 1. i en omfattning som inte är ringa får del av uppgifter i säkerhetsskyddsklassen hemlig,
2. i ringa omfattning får del av uppgifter
i säkerhetsskyddslassen kvalificerat hemlig, eller
3. till följd av sitt deltagande i verksamheten har möjlighet att orsaka allvarlig skada för Sveriges säkerhet.		 1. får del av uppgifter i säkerhetsskyddsklassen konfidentiell,
2. i ringa omfattning får del av uppgifter i säkerhetsskyddsklassen hemlig, eller
3. till följd av sitt deltagande i verksamheten har möjlighet att orsaka en inte obetydlig skada för Sveriges säkerhet.
Beslut om placering i säkerhetsklass 1 fattas av regeringen efter begäran från kommun, region eller myndighet.  Kommuner och kommunalförbund kan fatta beslut om placering i säkerhetsklass 2 och 3 när det gäller anställning eller annat deltagande i den egna verksamheten. Kommunala bolag kan inte själva besluta om placering i säkerhetsklass 2 och 3, utan får gå genom sin ägarkommun. 

En kommunal anställning placerad i säkerhetsklass 1 eller 2 får endast innehas av den som är svensk medborgare. 

Säkerhetsprövning 

En säkerhetsprövning ska göras av den som genom en anställning eller på något annat sätt ska delta i en säkerhetskänslig verksamhet (se 3 kap. 1 § säkerhetsskyddslagen). Säkerhetsprövningen ska göras innan deltagandet i den säkerhetskänsliga verksamheten påbörjas. Hur denna ska genomföras framgår ut Säkerhetspolisens vägledning. 

Säkerhetsprövningen består av följande tre delar.

  • Grundutredning: Utredning av personliga förhållanden av betydelse för säkerhetsprövningen som syftar till att skapa en personkännedom. Den ska innehålla en säkerhetsprövningsintervju där lojalitet, pålitlighet och sårbarhet hos den som prövas bedöms. Grundas på bland annat betyg, intyg och referenser. 
  • Registerkontroll: Om uppdraget har placerats i en säkerhetsklass ska en registerkontroll göras. Det är Säkerhetspolisen som genomför registerkontrollen efter ansökan från den som har beslutat om placering i säkerhetsklass (se Tabell ovan). Registerkontroll innebär kontroll mot SÄPO-registret, belastningsregistret, misstankeregistret och polisens allmänna spaningsregister.
  • Särskild personutredning: Om verksamheten har placerats i säkerhetsklass 1 eller 2 ska Säkerhetspolisen i samband med registerkontrollen göra en särskild personutredning. Den särskilda personutredningen omfattar bland annat en fördjupad kontroll av den prövades personliga förhållanden, exempelvis ekonomisk situation. 

Den som kontrolleras ska lämna sitt samtycke och verksamhetsutövaren ansvarar för att det dokumenteras. Vid registerkontroll i säkerhetsklass 1 och 2 kontrolleras även make, maka eller sambo. Dessa behöver inte lämna samtycke till kontrollen. När anställningen eller uppdraget upphör, ska det anmälas till Säkerhetspolisen. 

Säkerhetsprövning ska även göras vid ett deltagande i säkerhetskänslig verksamhet som inte föranleder placering i säkerhetsklass. I dessa fall kan säkerhetsprövningen ha en mer begränsad omfattning och en registerkontroll genomförs inte. 

Underlag och fördjupning

4.9.4 Hot mot egen personal

Om den egna personalen hotas i tjänsten finns det hjälp att få från flera håll, eftersom dricksvattenförsörjning är en samhällsviktig verksamhet. Arbetsgivaren har ansvar för att händelsen hanteras på ett bra sätt och säkerhetschefen ska vara inkopplad. En polisanmälan och en utredning ska alltid göras. Polisen kan göra bedömningen att Säkerhetspolisen bör kontaktas och ibland finns också möjligheten att direkt kontakta Säkerhetspolisen. 

4.9.5 Visselblåsarlagen

I december 2021 infördes en ny lag (2021:890) som i grunden handlar om att ge ett starkare skydd för den som rapporterar om missförhållanden både inom privata och offentliga verksamheter. Lagen ställer krav på säkra och anonyma rapporteringssystem. Med rätt verktyg och förhållningssätt kan missförhållanden snabbare upptäckas och åtgärdas samtidigt som visselblåsarens identitet hålls hemlig.

Lagen innebär i korthet följande:

  • Arbetsgivare med minst 50 anställda måste inrätta system för hantering av visselblåsarärenden, inklusive tydliga rutiner för uppföljning.
  • Anmälda ärenden ska hanteras av särskilt utsedda personer som är oberoende och självständiga. Arbetsgivaren kan anlita extern part för detta.
  • Visselblåsarens identitet ska hållas hemlig och denne ska skyddas mot repressalier, som exempelvis uppsägning, hot, degradering och försämrade förmåner. Om detta trots allt sker kan skadestånd utkrävas.
  • Fler än tidigare omfattas av skyddet och möjligheten att larma. Utöver anställda handlar det exempelvis om volontärer, konsulter och praktikanter.
  • Det finns tydliga krav på processen, exempelvis vad gäller tidsfrister om återkoppling och gallring av ärenden. 

Den nya lagen innebär en tydligare ordning för hur rapporter om missförhållanden ska omhändertas, bland annat genom att det ska införas särskilda rapporteringskanaler och att uppgifter som visselblåsares identitet ska omfattas av sekretess för att ge ett bättre skydd för den enskilde. Lagringen behöver även anpassas till andra gällande regelverk som exempelvis GDPR. 

Underlag och fördjupning

Alla sidor under kapitel genomföra