I måndags den 19 maj kunde Verifiera avslöja att en IT-leverantör med ramavtal med flera myndigheter och offentliga aktörer – däribland Havs- och vattenmyndigheten, DIGG, Myndigheten för samhällsskydd och beredskap, Försäkringskassan, Öresundsbron, Jordbruksverket, Folkhälsomyndigheten, CSN, SMHI och Regeringskansliet – har anställda som dömda för brott som tagande av muta samt grovt bedrägeri.
Vi har ställt frågor om denna leverantör till flera offentliga ramavtalskunder, inklusive Regeringskansliet. Nu har Verifiera fått svar.
I de fall där Regeringskansliet har tecknat säkerhetsskyddsavtal med leverantörer hanterar leverantören säkerhetsprövningarna, efter utbildning hos Regeringskansliet. Bakgrundskontroller är en del av säkerhetsprövningen. I säkerhetsskyddsavtalet regleras det som gäller för personalsäkerheten. Det är endast de personer som är aktuella för uppdraget och antingen tar del av säkerhetsskyddsklassificerade uppgifter eller utför uppdrag i vår säkerhetskänsliga verksamhet som säkerhetsprövas. Vi kan inte gå in på vad som gäller för enskilda personer.
Även om det inte är fråga om säkerhetsskyddsavtal ansvarar leverantören för att arbetet utförs på det sätt som kravställts i upphandlingen och bakgrundskontroller kan göras även då. I det fall leverantören inte uppfyller ställda krav har Regeringskansliet möjlighet att vidta åtgärder, t ex kräva skadestånd eller som en yttersta utväg säga upp eller häva avtalet.
Ramavtalet med Regeringskansliet
Enligt IT-leverantörens nyhetssida skrev bolaget den 10 oktober 2023 att de har ”säkrat prestigefullt ramavtal med Regeringskansliet” till ett värde av 55 miljoner. Avtalet gäller under en 4-års period. De skriver vidare ”Regeringskansliet, som är hjärtat av den svenska statsförvaltningen, har valt Castra som en av de två huvudleverantörerna för sitt nyinrättade ramavtal inom systemförvaltning. ”
Avtalet inkluderar bland annat följande tjänster:
Identitetshantering
Bolaget kommer att leverera konsulttjänster för att stödja att användaridentiteter hanteras på ett säkert och effektivt sätt.
Databasadministration
Bolaget kommer att leverera konsulttjänster för att stödja Regeringskansliet med hantering och optimering av databaser, säkerställande av datans integritet och tillgänglighet.
Serverkonfiguration
Bolaget levererar konsulttjänster för konfiguration och underhåll av servrar för att säkerställa prestanda och säkerhet.
Vad innebär detta i praktiken?
Identitetshantering
Bolagets konsulter har tillgång till Regeringskansliets alla användare och inloggningskonton.
Databasadministration
Bolagets konsulter har tillgång till alla databaser med Regeringskansliets interninformation
Server konfiguration
Bolagets konsulter har tillgång till de servrar Regeringskansliet använder
Detta innebär, bland annat, att personer får tillgång till Regeringskansliets mest skyddsvärda information, inklusive användaridentiteter kopplade till Sveriges högsta politiska ledning – däribland statsminister Ulf Kristersson, justitieminister Gunnar Strömmer, finansminister Elisabeth Svantesson och utrikesminister Maria Malmer Stenergard.
Nytt ramavtal
Den 16 december 2024 tecknar bolaget ett nytt ramavtal med Regeringskansliet, med roller som omfattar rollerna systemutveckling, kravhantering samt test och testledning. Avtalet sträcker sig över 2 år från och med december med möjlighet till förlängning i ytterligare 2 år. Ramavtalet har en takvolym på 30 MSEK.
Leveransansvarig
I artikeln den 19 maj 2025 rapporterade vi att en av bolagets anställda, som är leveransansvarig mot offentlig sektor (public sector), dömdes 2024 för flera fall av grovt bedrägeri hos en tidigare arbetsgivare. Straffet blev ett år och sex månaders fängelse.
En leveransansvarig gentemot en kund har ett övergripande ansvar för leveransen och förväntas ha detaljerad kunskap om kundens utmaningar och problem, insikt i behov kopplade till utvecklingsprojekt samt kännedom om eventuella brister i verksamheten.
IT-bolagets svar
Verifiera kontaktade IT-bolagets ansvarige för offentlig sektor och ställde frågor kring de dömda personerna i bolaget, en individ som är dömd för tagande av muta 2022 och en individ med en roll som leveransansavarig för public sektor, (offentlig sektor) som är dömd för grovt bedrägeri 2024, han hänvisade då till bolagets presstjänst.
Bolagets presstjänst svarade:
Förebyggande säkerhet är en central och prioriterad del inom hela Castra. Vi ställer höga krav på trygghet, ansvar och förtroende – både på våra anställda och i våra uppdrag. Bakgrundskontroller görs enligt våra interna riktlinjer, tillämplig lagstiftning och kundkrav, oavsett om det gäller intern personal eller konsulter.
Vi har tydliga rutiner för riskbedömning och säkerhet och arbetar kontinuerligt för att säkerställa att våra uppdrag bedrivs med högt ställda krav på integritet och kontroll.
Om det framkommer att en anställd är dömd för brott hanteras det med största seriositet utifrån våra säkerhetsrutiner, uppdragets krav och omständigheterna i det enskilda fallet. Bedömningen sker i samråd mellan ansvariga chefer och vår säkerhetsfunktion, samt vid behov i dialog med aktuell kund.
Vi uttalar oss inte om enskilda fall, men ser det som vårt ansvar att säkerställa att varje uppdrag bemannas med personal som har rätt kompetens och uppfyller högt ställda krav på lämplighet och säkerhet.
IT-bolagets pressansvarige mailade Verifiera redaktionen idag och meddelade:
” Vi har noterat artikeln, publicerad 19 maj, och vill komplettera med följande:
Den tidigare leveransansvarige är inte längre verksam i bolaget. I det andra fallet har ansvarig chef haft dialog med kund enligt våra rutiner. I övrigt hänvisar vi till vårt tidigare svar.”
Vid tidpunkten för publicering av artikeln fanns den anställde leveransansvarige fortfarande med på företagets webbplats.
Christel Prinsén
redaktionschef
