Ett konsultbolags samlade uppdrag anses vara säkerhetskänsligt

En oenig förvaltningsrätt har i ett färskt avgörande bedömt att ett konsultbolag som bland annat är verksamt i försvarssektorn ska anses vara en självständig verksamhetsutövare enligt säkerhetsskyddslagen. Bedömningen bygger på att konsultbolagets samlade mängd uppdrag samt bolagets egna säkerhetsskyddsanalys – som visserligen kom fram till att bolaget inte bedriver säkerhetskänslig verksamhet. Föreläggandet om att anmäla sin verksamhet till tillsynsmyndigheten står enligt förvaltningsrätten fast. Domen har inte vunnit laga kraft ännu och vi kan vänta oss att domen kommer att överklagas så ännu är inte sista ordet sagt. Förvaltningsrätten i Stockholms dom i mål SM 20-24.

Bakgrund

Om bolaget

Konsultbolagets huvudsakliga syfte är att erbjuda konsultkompetens inom flera olika branscher, bland annat till försvarsindustrin. Den största kunden är verksam inom försvarsområdet. Drygt 50 % av bolagets omsättning kommer från försvarsindustrin. Konsulterna som arbetar med försvarsindustrin har bland annat arbetat med mjukvaror och deltagit i stora försvarsplattformprojekt. Övriga kunder är verksamma inom energi-. finans-, och transportsektorn, rättsväsendet och andra verksamheter som omfattas av säkerhetsskyddslagen. Verksamheten bedrivs genom att bolaget utför uppdrag på beställning på plats hos kunderna eller i bolagets egna lokaler. I huvudsak handlar leveranserna om ingenjörskompetens där respektive konsult deltar integrerat i kundens verksamhet. Bolaget har också byggt upp en organisation med bland annat signalskyddschef och säkerhetsskyddschef och säkerhetsprövar delar av sin personal på grund av krav enligt säkerhetsskyddsavtal.

Säkerhetsskyddsavtal

Enligt bolaget har de mellan 60-100 säkerhetsskyddsavtal fördelat på 35-55 kunder. Cirka hälften av bolagets konsulter är engagerade i uppdrag som omfattas av säkerhetsskyddsavtal. Drygt 50 av säkerhetsskyddsavtalen är på nivå 2 och 3, (dvs arbetet utförs i kundens lokaler) och resterande avtal är på nivå 1 (arbetet bedrivs i konsultbolagets lokaler, eller kundens säkerhetskänsliga uppgifter förvaras hos bolaget). Lokalerna är godkända för säkerhetsskyddsklassificerade uppgifter upp till nivån HEMLIG.  

Säkerhetsskyddsanalys

Bolaget har en fastställd säkerhetsskyddsanalys. Säkerhetsskyddsanalysen som av bolaget inte tagits fram till följd av säkerhetsskyddslagens krav innehåller utförliga resonemang och beskrivningar av bolagets verksamhet. I säkerhetsskyddsanalysen har bolaget gjort bedömningen att bolaget är mycket intressant för främmande underrättelsetjänst att få insyn i och tillgång till. Insiderhotet har bedömts vara det största och mest väsentliga för bolaget. 

Tillsyn och föreläggande

Efter tillsyn baserat på öppna källor och inhämtande underlag i form av säkerhetsskyddsanalys kompletterande uppgifter beslutade tillsynsmyndigheten att förelägga bolaget anmäla säkerhetskänslig verksamhet till dem. Som skäl angavs att bolaget bedriver verksamhet inom försvarsindustrin och erbjuder metod- och teknikutveckling. Bolaget har ingått ett flertal säkerhetsskyddsavtal med kunder som bedriver säkerhetskänslig verksamhet. Denna samlade mängd av uppdrag innebär att bolaget får en inblick i och kännedom om skyddsvärden hos flera olika säkerhetskänsliga verksamheter. Ett antagonistiskt angrepp mot bolaget kan komma att påverka samhället i stort. Ett bortfall av de tjänster som bolaget erbjuder skulle med stor sannolikhet påverka Sveriges säkerhet.

Bolaget överklagade och anförde fyra formella invändningar och en (1) invändning i sak.

  1. att det var fel tillsynsmyndighet, 
  2. föreläggandet har inte haft stöd i säkerhetsskyddslagen, 
  3. tillsynsmyndigheten inte utrett ärendet i den omfattning som krävs, 
  4. att föreläggandet inte var tillräckligt precis för att bolaget ska förstå vad det ska göra och slutligen sakinvändningen, 
  5. om det funnits skäl att förelägga bolaget om att anmäla säkerhetskänslig verksamhet. 

Bolaget yrkade därför att föreläggandet skulle upphävas. Bolagets ombud har gjort ett gediget och imponerande arbete som resulterat i att vi nu fått ytterligare värdefulla pusselbitar i säkerhetsskyddslandskapet – särskilt för enskilda näringsidkare. 

Förvaltningsrättens avgörande

1 Det var rätt tillsynsmyndighet

Under handläggningen frånföll bolaget denna invändning men önskade ändå vägledning i frågan. Förvaltningsrätten kontaktade den tillsynsmyndighet som annars skulle kunnat vara aktuell och det kan konstateras att en verksamhetsutövare kan vara aktiva inom flera sektorer och därför kan vara föremål för tillsyn av flera tillsynsmyndigheter. Förvaltningsrätten konstaterar att det i ärendet i inte framkommit något annat än att den aktuella tillsynsmyndigheten inte var fel.

2 Utfärdandet av föreläggandet har stöd i säkerhetsskyddslagen

Bolaget menade att det är upp till varje verksamhetsutövare att själv avgöra om den omfattas av säkerhetsskyddslagens bestämmelser. Det finns inget stöd i lagen för att tillsynsmyndigheten ska få besluta om att en enskild bedriver säkerhetskänslig verksamhet. 

Förvaltningsrätten håller med bolaget om att åtgärdsföreläggande endast får riktas mot verksamhetsutövare enligt säkerhetsskyddslagen och inte i förhållande till aktörer bedriver verksamheten med stöd av säkerhetsskyddsavtal.

Förvaltningsrätten lyfte att grunden för föreläggandet bygger på en bedömning efter viss granskning om att bolaget själv bedriver säkerhetskänslig verksamhet och om bolagets tolkning av lagen skulle ha företräde skulle en aktör kunna undandra sig skyldigheterna enligt säkerhetsskyddslagen. För att tillsynen ska bli effektiv och ändamålsenlig och för att säkerställa efterlevnaden av regelverket måste tillsynsmyndigheterna ha möjlighet att förelägga aktörer att anmäla säkerhetskänslig verksamhet även om aktören själv har gjort bedömningen att en sådan verksamhet inte bedrivs. Tillsynsmyndigheten hade därför stöd i lag för att besluta om föreläggandet. 

3 Utredningen är inte bristfällig

Utredningen bestod av inhämtning av information från bolagets hemsida samt andra öppna källor samt underlag från bolaget i form av säkerhetsskyddsanalys och kompletterande uppgifter. 

Bolaget hänvisade till förvaltningsrättens avgörande i SM 16-24 där tillsynsmyndigheten endast granskat offentlig information från det ifrågavarande bolagets hemsida. 

Förvaltningsrätten förtydligade att det inte alltid måste hållas intervjuer med företrädare för en aktör som står under tillsyn och det är upp till varje myndighet att själv bestämma hur den bedriver tillsyn. Förvaltningsrätten konstaterar att bolagets egna säkerhetsskyddsanalys innehåller utförliga resonemang och beskrivningar av bolagets verksamhet som rimligen varit av betydelse för tillsynsmyndighetens bedömning. Utredningen har därför inte varit så bristfällig att föreläggandet ska upphävas. 

4 Föreläggandet är tillräckligt tydligt

Bolaget invände att tillsynsmyndigheten inte angett vilken del av bolagets verksamhet som det ska anmäla. Föreläggandet upprepar endast lagens lydelse. 

Förvaltningsrätten framhåller att det tydligt framgår av föreläggandet att det är verksamheten med anledning av bolagets säkerhetskänsliga uppdrag som omfattas och på grund av sitt samlade uppdrag. Det vill säga bolagets verksamhet och samlade uppdrag med anledning av säkerhetsskyddsavtalen. 

Detta anser domstolen är tillräckligt tydligt och preciserat för att bolaget ska kunna utläsa vilka åtgärder som behöver vidtas. 

5 Bolaget bedriver säkerhetskänslig verksamhet

Domstolen inleder med att konstatera att lagens definition av säkerhetskänslig verksamhet och vem som är verksamhetsutövare inte innehåller något undantag för aktörer som ingått säkerhetsskyddsavtal eller som agerar leverantör till säkerhetskänslig verksamhet. 

Enligt domstolen är det avgörande om verksamheten till sin art och omfattning är sådan att den är av betydelse för Sveriges säkerhet. I sådant fall är aktören verksamhetsutövare oaktat eventuella säkerhetsskyddsavtal eller roll som aktör. 

Det finns inget stöd för slutsatsen att ett ingånget säkerhetsskyddsavtal innebär att man inte kan driva säkerhetskänslig verksamhet eller att man ska bortse från verksamhet som omfattas av säkerhetsskyddsavtal vid bedömningen av en verksamhets säkerhetskänslighet. 

Ett stort antal säkerhetsskyddsavtal inom flera branscher fördelade på flera aktörer kan medföra att en verksamhets samlade uppdrag har betydelse för Sveriges säkerhet. Det finns dock inget fastställt antal säkerhetsskyddsavtal som krävs för att en aktör ska anses bedriva säkerhetskänslig verksamhet. I stället ska det enligt domstolen göras en samlad bedömning av den verksamhet som bedrivs enligt säkerhetsskyddsavtalen. 

Det avgörande är inte mängden avtal i sig utan om bolaget får insyn i och kunskap om kundernas säkerhetskänsliga verksamhet samt om hanteringen av säkerhetsskyddsavtalen innebär att ett antagonistiskt angrepp mot bolaget kan skada Sveriges säkerhet.

Faktorer att beakta enligt förvaltningsrätten: 

  1. Vilka skyddsvärden och vilken information som bolaget och bolagets konsulter får tillgång till genom avtalen och vilken konkret verksamhet som bolaget deltar i genom avtalen. (Till exempel vilka tillgångar eller funktioner skyddas genom säkerhetsskyddsavtalen, nivå på säkerhetsskyddsavtalen och säkerhetsskyddsklassificerade uppgifter, utrustning som konsulterna förfogar över hos kunderna eller annan information, tillgångar eller system m.m som för den andra aktören utgör säkerhetskänslig verksamhet).
  2. Finns det en hotbild mot eller sårbarhet kring de skyddade tillgångarna, funktionerna eller informationen. 
  3. Vilka konsekvenser skulle ett avbrott, störning eller sabotage av bolagets verksamhet få för bolagets kund och Sveriges säkerhet.

Därefter går förvaltningsrätten vidare och tillämpar dessa kriterier på det aktuella bolaget. 

Bolaget är ett teknikkonsultföretag som bedriver konsultverksamhet på beställning av en kund.

Kunderna finns i flera samhällssektorer.

Den största kunden är verksam inom försvarsområdet. 50-60 % av bolagets omsättning kommer från försvarsindustrin. Övriga kunder är verksamma inom samhällsviktig verksamhet och andra verksamheter som omfattas av säkerhetsskyddslagen. 

Konsulterna som arbetar inom försvarsindustrin har arbetat med bl.a. mjukvaror och deltagit i projekt med framtagandet av försvarsplattformar. 

Bolaget har mellan 60-100 säkerhetsskyddsavtal fördelat på 35-55 kunder. Hälften av bolagets anställda konsulter arbetar i uppdrag med säkerhetsskyddsavtal. Bolaget har hela tiden relativt många säkerhetsskyddsavtal. Av dessa är drygt 50 på nivå 2 och 3 resterande är på nivå 1. 

Bolaget har uppgett att det inte tillhandahåller några driftstjänster/it-system som utgör en beständig förutsättning för kunderna. Förvaltningsrätten förtydligar att även konsulttjänster kan utgöra driftstjänster och att en sådan verksamhet också kan utgöra en beständig förutsättning för kunderna. 

Den bransch som bolaget är verksam inom är mycket skyddsvärd men detta kan inte ensamt utgöra grund för att bolaget bedriver säkerhetskänslig verksamhet men talar för att den information som bolagets konsulter hanterar enligt säkerhetsskyddsavtalen rör för Sveriges säkerhet mycket känsliga frågor. 

Domstolen anser att det finns en presumtion för att aktörer inom totalförsvaret, särskilt inom det militära försvaret, också bedriver verksamhet av betydelse för Sveriges säkerhet och att en sådan presumtion också kan upprätthållas i förhållande till aktörer med ett stort antal säkerhetsskyddsavtal och ett samlat uppdrag. 

Domstolen lyfter att bolaget är verksam runt om i landet och har tillverknings- och tillhandahållandetillstånd för krigsmateriel och/eller exporttillstånd för produkter med dubbla användningsområden. 

Bolaget hanterar signalskyddssystem kopplat till uppdrag med säkerhetsskyddsavtal. Någon egen hantering av sådana system förekommer dock inte och bolaget anses inte bedriva säkerhetskänslig verksamhet enbart på grund av hanteringen av signalsskyddssystemen. Bolaget har ändå en organisation med bland annat signalskyddschef och säkerhetsskyddschef och säkerhetsprövar delar av sin personal på grund av krav enligt säkerhetsskyddsavtalen. 

Inom ramen för säkerhetsskyddsavtal hanterar bolagets konsulter säkerhetsskyddsklassificerade uppgifter. 

Bolaget är del av en koncern där bolaget får vidare insyn i till exempel pågående vapenaffärer med andra länder. 

Bolaget har i sin egen säkerhetsskyddsanalys gjort bedömningen att bolaget är mycket intressant för främmande underrättelsetjänst att få insyn i och tillgång till och insiderhotet anses vara det mest väsentliga för bolaget. 

Dessa omständigheter sammantaget anses vara tillräckliga för att bolaget genom sina säkerhetsskyddsavtal ska anses bedriva säkerhetskänslig verksamhet. Det indikerar att bolaget genom avtalen får insyn i många olika typer av verksamheter och att bolagets konsulter genom det integrerade deltagandet får kunskap om kundernas säkerhetskänsliga verksamhet där säkerhetsskyddsklassificerade uppgifter och signalskyddssystem hanteras. 

Förvaltningsrätten anser även att den samlade bilden av vilka kunder som konsulterna har arbetat hos kan vara säkerhetskänslig liksom den funktion och organisation hos bolaget som samordnar och hanterar säkerhetsskyddsavtalen och bland annat får kännedom om vilka kunder som bolaget har och vilka anställda som är föremål för registerkontroller.  

Efter en sammantagen bedömning av bolagets verksamhet och säkerhetsskyddsavtal anser domstolen att bolagets samlade uppdrag har betydelse för Sveriges säkerhet. Den samlade hanteringen av bolagets säkerhetsskyddsavtal är säkerhetskänslig verksamhet eftersom kunskapen om vilka kunder som bolaget har och har haft, vilka konsulter som har arbetat hos kunderna och den insyn som sådan kunskap kan ge om kunderna är av betydelse för Sveriges säkerhet. 

Förvaltningsrätten anser utredningen inte visar annat än att den kan antas att bolaget tjänster är kritiska för kundernas verksamhet och utgör en beständig förutsättning för deras förmåga att lösa sina respektive uppdrag. Att det finns andra bolag som erbjuder liknande tjänster som bolaget medför ingen annan bedömning. 

Det samlade uppdraget som bolaget har innebär därmed enligt domstolen risker för de aktörer som bolaget utför tjänster åt vid ett antagonistiskt angrepp mot bolaget. Detta kan i sin tur leda till skada för Sveriges säkerhet. Förvaltningsrätten anser mot denna bakgrund att bolaget bedriver säkerhetskänslig verksamhet och att bolaget har en skyldighet att anmäla sig som verksamhetsutövare hos tillsynsmyndigheten. 

En nämndeman var skiljaktig och ansåg att bolaget samlade uppdrag inte är av betydelse för Sveriges säkerhet och således inte ska anmäla verksamheten till tillsynsmyndigheten. 

Reflektioner

Det aktuella ärendet är mycket intressant och det ska bli spännande att följa. Det har ännu inte vunnit laga kraft och bolaget kommer med stor sannolikhet att överklaga – inte minst för att domstolen var oenig. Detta är det första fallet där frågan om ett privat bolags samlade verksamhet mot bakgrund av säkerhetsskyddsavtal prövas. Frågorna är kluriga även för den som är insatt i regelverket. 

Det finns flera intressanta medskick som kommer vara betydelsefulla för rättstillämpningen och det fortsatta arbetet, om det står sig i överinstanserna. 

Resonemangen från domstolen är både utförliga och i viss del nyskapande. 

Något om bolagets formella invändningar

Att flera tillsynsmyndigheter kan aktualiseras är inte särskilt konstigt och från statens sida är det såklart viktigare att ingen säkerhetskänslig verksamhet hamnar mellan stolarna än den utmaning det skulle innebära för en verksamhetsutövare att hantera olika tillsynsmyndigheter. I detta fall ställdes frågan inte heller på sin spets. Även om bolaget vidhållit invändningen har jag svårt att se att det skulle nått framgång med den. 

Beträffande invändningen att det är verksamhetsutövaren själv som avgör om denne ska omfattas av regelverket eller inte så har domstolen helt klart en poäng i att då skulle vi definitivt inte ha så många privata aktörer som bedriver säkerhetskänslig verksamhet. Det skulle vara extremt lätt att kringgå de betungande krav och inskränkningar i äganderätten som det innebär att anses vara en verksamhetsutövare enligt säkerhetsskyddslagen. Det skulle dessutom kunna snedvrida konkurrensen mellan företag som anser sig omfattas av lagen och de som inte anser sig omfattas av lagen givet detta. Det kan naturligtvis också påverka värdet av ett bolag eftersom det inte kan avyttras hur som helst enligt säkerhetsskyddsregelverket. Så helt klart en rimlig och väntad slutsats av domstolen. Detta har också kommit till uttryck i flera tidigare mål som avgjorts av förvaltningsrätten, se Förvaltningsrätten i Stockholms domar SM 16-24, SM 4-25 och SM 6-25. Med stor sannolikhet kommer detta att stå sig även i överinstanserna. 

När det gäller tillsynsmyndighetens utredning står det klart att den var grundligare än den var i ärendet SM 16-24. Det tillsynsmyndigheten gjorde utöver de åtgärder som vidtogs i SM 16-24 var att inhämta bolagets säkerhetsskyddsanalys och kompletteringar. Bolagets säkerhetsskyddsanalys var – såsom det får förstås och antyds av domstolen – alldeles utmärkt med utförliga resonemang. Tillräckligt utförlig för att tillsynsmyndigheten i varje fall skulle kunna bilda sig en uppfattning om verksamheten och dess betydelse för Sveriges säkerhet. Kudos till bolaget i detta avseende. Men samtidigt kanske den varit lite för bra och gått utöver vad man behöver när man gör en säkerhetsskyddsanalys för en verksamhet som inte bedriver säkerhetskänslig verksamhet. Vissa delar behöver ju inte tas med i sådana fall. Till exempel, att bolaget i analysen vidgått att det är en intressant måltavla för utländsk underrättelsetjänst blir iögonfallande, eftersom det annars är en omständighet som bolagets kunder ska ta höjd för i sina säkerhetsskyddsavtal och i säkerhetsprövningen av konsulterna. Men jag har själv inte sett analysen så det blir bara spekulationer baserat på domstolens uttalanden – inte ens domstolen hade tillgång till bolagets säkerhetsskyddsanalys. 

Den sista invändningen som rörde föreläggandets tydlighet och möjlighet att efterkomma det så får det ändå sägas att det är lätt att veta att man ska skicka in en anmälan. Tillsynsmyndighetens blankett är lätt att fylla i och skicka in. Men man ska samtidigt ange om säkerhetsskyddsanalys är framtagen och beslutad. Ja, så kan det ju vara men den beslutade säkerhetsskyddsanalysen kom fram till att bolaget inte bedriver säkerhetskänslig verksamhet, så blir det lite moment 22. Som bolag behöver man i sådant fall närmare vägledning om vilken del av verksamheten som tillsynsmyndigheten anser vara säkerhetskänslig. Förvaltningsrätten anser att ”den verksamhet som bolaget bedriver med anledning av bolagets säkerhetskänsliga uppdrag som omfattas av säkerhetsskyddsavtalen och samlade uppdrag har betydelse för Sveriges säkerhet” – Jag vet inte jag. Jag återkommer nedan till varför det kanske inte är så tydligt. 

Sakinvändningen – bolagets säkerhetskänsliga verksamhet

Nu kommer vi till det riktigt spännande och viktiga. Domstolen framhåller tre faktorer att beakta (se ovan). Sedan tillämpar domstolen dessa tre faktorer. Detta är toppen! Dels domstolen visar domstolen metoden och tillämpar den sedan på bolaget i fråga. Metoden liknar säkerhetsskyddsanalysarbetet – dvs. utgå från skyddsvärde, beakta hot/sårbarheter samt bedöm konsekvenserna. Snyggt förvaltningsrätten!  

Några särskilda observationer om andra slutsatser av domen. 

  • Även konsulttjänster kan utgöra driftstjänster och kan utgöra en beständig förutsättning för kunderna. 
  • Att man har säkerhetsskyddsavtal utesluter inte att man kan anses bedriva säkerhetskänslig verksamhet. Delar som omfattas av säkerhetsskyddsavtal ska inte bortses vid bedömning av verksamheters säkerhetskänslighet.
  • Att det finns andra bolag som erbjuder liknande tjänster väger inte speciellt tungt för domstolen. Det påverkar inte bolagets betydelse för Sverige. 
  • Aktörer inom totalförsvaret presumeras bedriva verksamhet av betydelse för Sveriges säkerhet – särskilt inom det militära försvaret. 
  • Aktörer med ett stort antal säkerhetsskyddsavtal och ett samlat uppdrag kan också presumeras bedriva verksamhet av betydelse för Sveriges säkerhet. 

Med presumtion inom juridiken menas att det är en omständighet som man utgår från utan att särskild bevisning behöver föras fram. Det gäller således – om man inte kan motbevisa att så är fallet. Det är alltså utgångspunkten enligt domstolen. I ett slag kommer många aktörer förmodligen att behöva omvärdera sin verksamhet och hitta goda argument för att man inte ska anses bedriva säkerhetskänslig verksamhet – annars är sannolikheten stor att man bedöms omfattas av regelverket. Domstolen har tydligt tagit intryck av det starkt försämrade säkerhetspolitiska läget. 

Sedan blir förvaltningsrättens resonemang något dunklare. I flera stycken verkar det som att domstolen kommit till en slutsats beträffande den säkerhetskänsliga verksamheten bara för att på nytt resonera om omständigheter som gör att verksamheten omfattas, men även omständigheter som inte är avgörande. Detta blir något förvirrande för läsaren. 

Enskilda konsulters kunskap om verksamheter som de arbetar med smittar bolaget vilket förefaller vara en något udda slutsats. Säkerhetsskyddsregelverket kräver att endast den är behörig få del av säkerhetsskyddsklassificerade uppgifter eller del i säkerhetskänslig verksamhet som är pålitlig, är utbildad i säkerhetsskydd och behöver uppgiften eller tillgången för att kunna utföra arbetet eller medverka i verksamheten. Det gäller inom även i förhållande till bolaget där konsulten är anställd. Att det skulle smitta bolaget blir märkligt, hur skulle de bli när medarbetare slutar och nya kommer in, ska man behöva beakta vad en person redan vet i sådant fall och hur ska man kunna ta höjd i sitt säkerhetsskyddsarbete för vad medarbetarna kan komma att känna till som inte bolaget har den minsta kunskap om – och inte heller ska ha någon kunskap om. Man får utgå från att konsulterna inte berättar om sina uppdrag för sin arbetsgivare eller kollegor som inte omfattas av uppdraget.  

Det som dock blir mest förvirrande är domstolens resonemang rörande antagande om bolagets kritikalitet för kunderna och bolagets samlade uppdrag innebär risker för de kunder som bolaget utför tjänster åt. Domstolen bör veta att säkerhetsskyddsregelverket inte är riskbaserat och resonemang rörande risk för Sveriges säkerhet inte kan föras. Hot mot den egna verksamheten ska hanteras av verksamhetsutövaren – i detta fall bolagets kunder. 

Vad är det som är säkerhetskänsligt hos konsultbolaget då? 

  • Bolagets samlade uppdrag,
  • Den samlade hanteringen av bolagets säkerhetsskyddsavtal. 

Resonemangen kring det samlade uppdragen är anser jag vara otydlig och något rörig men slutsatsen kring hanteringen av bolagets säkerhetsskyddsavtal är tydlig och väldefinierad sedan kan man vara av olika uppfattning om detta verkligen ska anses vara säkerhetskänsligt. Det kommer bli utmanande för bolaget att placera in verksamheten i en konsekvensnivå. 

Det ska bli spännande att följa fortsättningen av detta – för många privata bolag – viktiga ärende. 

Författare: Andreas Dahlqvist, Chefsjurist och säkerhetsskyddschef

Rulla till toppen