Mellan 2012 och 2017 har företaget Atea haft tillgång till regeringskansliets nätverk i form av det som binder ihop datorer, skrivare, mejlservrar och annan utrustning. Det omfattar nätverk i ett tiotal byggnader i Klarakvarteret i Stockholm, och kopplingen mot ambassader och generalkonsulat.
Den 1 september i år gavs företaget Cygate tillgång till regeringskansliets nätverksinfrastruktur där extern personal hjälper till med underhåll.
I båda fallen saknas säkerhetsskyddsavtal mellan leverantören och regeringskansliet.
Regeringskansliets IT-chef Inga Brundell Öhman skriver i ett mejl till DN att eftersom vissa uppgifter i avtal redan omfattas av sekretess behövs inget säkerhetsskyddsavtal.
"Det får man inte"
Regeringskansliets säkerhetschef, Ari Stenman, säger att personalen hanterar skyddsvärd information men att det till största delen handlar om underhåll av hårdvara. Den externa personalen har ingen fjärråtkomst, behörighet eller tillgång till den vidare IT-miljön.
Informationen de hanterar är inte tillräckligt känslig för att kräva ett säkerhetsskyddsavtal, menar han.
- Ett säkerhetsskyddsavtal har man när man kommer upp i nivån där personer ska få hantera information med bäring på rikets säkerhet, och det får man inte här, säger han till TT.
KU-anmäler Löfven
Vad för information som personalen hanterar vill Ari Stenman inte berätta. Han känner sig dock trygg med att personalen är kontrollerad tillräckligt.
- Det har lite felaktigt konstaterats att det är bara när det har bäring på rikets säkerhet som man kan göra registerkontroller. Det kan man göra också i andra fall, säger han utan att gå in på om så görs i det aktuella fallet.
Men Kristdemokraternas försvarspolitiske talesperson Mikael Oscarsson tycker att uppgifterna är så pass allvarliga att han KU-anmäler statsminister Stefan Löfven (S).
- Det är svårbegripligt. Det här ligger direkt under statsministern, säger Mikael Oscarsson till DN.