KOFA-AVGJØRELSE
KOFA 2020/355: Vesentlig avvik – SSD-destruksjon (Norsk Helsenett)
Faktum
Norsk Helsenett SF kunngjorde 25. september 2019 en åpen anbudskonkurranse for inngåelse av en rammeavtale om avhending av IKT-utstyr, på vegne av seg selv og 12 andre virksomheter i helseforvaltningen. Anskaffelsens verdi var estimert til 1 350 000 kroner ekskl. mva., med tilbudsfrist 30. oktober 2019. Kravspesifikasjonen inneholdt 53 krav merket som enten obligatoriske («O») eller evalueringskrav («EV»). Blant de obligatoriske kravene var krav nr. 15 om at utstyr der sikker sletting ikke var mulig, skulle granuleres/destrueres i henhold til NSMs krav på nivå «Konfidensiell». NSMs krav innebærer mekanisk makulering til fragmentstørrelse på maksimalt 2×2 mm, eller etterfølgende forbrenning på minst 650 °C dersom denne størrelsen ikke kan oppnås. Kontrakt ble tildelt CHG-MERIDIAN Skien AS (valgte leverandør), som i sitt tilbud opplyste at SSD-lagringsmedier ville granuleres i henhold til DIN 66399-standarden på «nivå H5 eller bedre». Klager Alternativ Data AS påpekte overfor innklagede at tilbudet inneholdt avvik fra destruksjonskravet, men innklagede avviste at avviket var vesentlig nok til å begrunne avvisning.
KOFAs vurdering
1. Rettsregel – avviksvilkåret: Det følger av FOA 2017 § 24-8 (1) bokstav b at oppdragsgiver skal avvise et tilbud som inneholder vesentlige avvik fra anskaffelsesdokumentene. KOFA presiserte at avvik foreligger dersom oppdragsgiver, ved å akseptere tilbudet, ikke kan kreve oppfyllelse i samsvar med kravspesifikasjonen, og at dette beror på en tolkning av tilbudet i lys av konkurransegrunnlaget. De avgjørende faktiske forhold var at valgte leverandørs tilbud angav granulering i henhold til DIN 66399 H5, som tillater fragmenter på inntil 320 kvadratmillimeter – en klar overskridelse av NSMs krav om maks 2×2 mm. Formuleringen «H5 eller bedre» ble ansett «i beste fall uklar», og denne uklarheten måtte valgte leverandør bære risikoen for, jf. FOA 2017 § 23-3 (2). Etterfølgende forbrenning var ikke nevnt i tilbudet. Delkonklusjon: Det forelå et avvik i valgte leverandørs tilbud.
2. Rettsregel – vesentlighetsvurderingen: KOFA viste til at vurderingen av om et avvik er vesentlig, tar hensyn til avvikets størrelse, viktigheten av det krav det avvikes fra, og i hvilken grad avviket forrykker konkurransen, jf. bl.a. KOFA 2018/494. Avvik fra krav angitt som absolutte vil som «et klart utgangspunkt anses vesentlige», jf. LB-2010-115884 og KOFA 2020/72 avsnitt 26. KOFA tolket uklarheten i konkurransegrunnlagets formulering («kan tilbudet bli avvist») dithen at det ikke var helt klart om innklagede hadde ment å oppstille ufravikelige krav, men fant det unødvendig å ta endelig stilling til dette. Avgjørende faktum var at sikker destruksjon utgjorde anskaffelsens «hovedformål», at valgte leverandør skulle håndtere sensitive personopplysninger på vegne av 12 helseforvaltningsaktører, og at NSMs krav er «svært strenge». At avviket kun gjaldt én type lagringsmedium, ble ansett uten avgjørende betydning. Delkonklusjon: Avviket var vesentlig, og innklagede hadde plikt til å avvise valgte leverandørs tilbud etter FOA 2017 § 24-8 (1) bokstav b.
3. Øvrige anførsler: På bakgrunn av konklusjonen under punkt 1 og 2 fant KOFA det unødvendig å behandle klagers øvrige anførsler om manglende NSM-godkjenning av makuleringsverktøy, signert databehandleravtale, manglende opplysninger om underleverandører og påstått ulovlig tilbudsforbedring.
Konklusjon
KOFA konkluderte med at Norsk Helsenett SF brøt regelverket for offentlige anskaffelser ved ikke å avvise valgte leverandørs tilbud, jf. FOA 2017 § 24-8 (1) bokstav b. Bruddet påvirket resultatet av konkurransen, og klagegebyret ble tilbakebetalt i medhold av klagenemndsforskriften § 13.
Praktisk betydning
Avgjørelsen illustrerer at et avvik fra et krav som ivaretar anskaffelsens hovedformål, kan anses vesentlig selv om oppdragsgiver har formulert avvisningsplikten ved obligatoriske krav som en «kan»-regel. Videre klargjør nemnda at uklare formuleringer i et tilbud – slik som angivelse av en standard der det aktuelle nivået ikke tilfredsstiller oppdragsgivers spesifikasjon – går ut over tilbyderen, jf. FOA 2017 § 23-3 (2). Saken viser også at en utløpt sertifisering (her: NSMs godkjenning av makuleringsmaskin fra 2012) ikke kan gi leverandøren en berettiget forventning om oppfyllelse av gjeldende krav.
Hele KOFA-avgjørelsen (klikk for å skjule)
Saken gjelder:
Avvisning av tilbud. Krav til ytelsen.
Innklagede gjennomførte en åpen anbudskonkurranse for inngåelse av en rammeavtale om avhending av IKT-utstyr. Klagenemnda kom til at valgte leverandørs tilbud inneholdt et vesentlig avvik, ettersom det ikke oppfylte kravet om sikker destruksjon av SSDlagringsmedier. Valgte leverandørs tilbud skulle derfor ha vært avvist. På bakgrunn av konklusjonen klagenemnda kom til, ble ikke klagers øvrige anførsler behandlet. Klagenemndas avgjørelse 10. november 2020 i sak 2020/355 Klager:
Alternativ Data AS
Innklaget:
Norsk Helsenett SF
Klagenemndas medlemmer:
Marianne Dragsten, Alf Amund Gulsvik og Kristian Jåtog Trygstad
Bakgrunn
(1)Norsk Helsenett SF (heretter innklagede) kunngjorde 25. september 2019 en åpen anbudskonkurranse for inngåelse av en rammeavtale om avhending av IKT-utstyr. Konkurransen ble kunngjort på vegne av innklagede selv og 12 andre oppdragsgivere. Rammeavtalen skulle ha en varighet på 1 år, med mulighet for forlengelse i 6 måneder av gangen, totalt inntil 4 år. Anskaffelsens verdi ble estimert til 1 350 000 kroner ekskl. mva. Tilbudsfrist var 30. oktober 2019.
(2)Formålet med anskaffelsen var beskrevet på følgende måte i konkurransegrunnlaget punkt 2.1 («Formål og omfang»): «Norsk Helsenett SF (NHN) er på vegne av seg selv og 12 virksomheter innenfor helseforvaltningen, ansvarlig for avhending av IKT-utstyr. Formålet med denne avtalen er å sikre at alle sensitive data som er lagret på IKT-utstyr blir slettet på en sikker måte før utstyret blir gjenvunnet eller solgt. Brukt IKT utstyr som ikke er egnet for gjenbruk, gjenvinning eller salg skal destrueres i henhold til forskrift om gjenvinning og behandling av avfall 1. juni 2004 nr. 930 (Avfallsforskriften)».
(3)Tilbudene skulle evalueres på bakgrunn av tildelingskriteriene «Samlede priser» (65 %) og «Kvalitet» (35 %).
(4)Av konkurranselaget punkt 8.2 («Vurdering av avvik og forbehold») fremgikk følgende om håndtering av eventuelle avvik/forbehold i tilbudene: «Oppdragsgiver vil vurdere omfang og konsekvens av eventuelle forbehold mot avtalevilkårene, samt eventuelle forutsetninger og krav fra tilbyderen. Disse vil skjønnsmessig bli vurdert under kriteriet "Samlede priser" om de antas å ha økonomisk
betydning, eventuelt under de øvrige kvalitetskriteriene hvis de antas å ha betydning for disse. Det er ikke anledning til å ta vesentlige forbehold mot kontraktsvilkårene. Tilsvarende for avvik fra konkurransegrunnlaget, som enten enkeltvis eller samlet representerer et vesentlig avvik fra kravspesifikasjonen eller konkurransegrunnlaget for øvrig. Eventuelle avvik vil bli vurdert ut fra viktigheten av forholdet det eventuelt avvikes fra, vesentligheten av avviket, avvikets betydning for Oppdragsgiver samt avvikets betydning for konkurransesituasjonen. En samlet vurdering av avvik vil kunne resultere i en avvisningsrett- og eller plikt for å sikre at Oppdragsgivers behov faktisk dekkes og at evalueringen baseres på sammenlignbare tilbud».
(5)I den tilhørende kravspesifikasjonen var det angitt 53 ulike krav til leveransen, som var merket med enten «O» eller «EV» for henholdsvis obligatoriske krav og evalueringskrav: «* Obligatoriske krav (O-krav) er absolutte minstekrav som må være oppfylt for at tilbudet kan anses å tilfredsstille kravspesifikasjonen. Dersom et O-krav ikke er oppfylt kan tilbudet bli avvist. Det kan ikke tas forbehold mot O-krav. Obligatoriske krav angis av oppdragsgiver i kolonnen for "Krav-type" som "O". * Tilbudets oppfyllelse av evalueringskrav (EV-krav) vil bli evaluert under evalueringen av tildelingskriteriene. Det tilbudet som oppfyller EV-kravet best vil få flest poeng. Evalueringskrav angis av oppdragsgiver i kolonnen for "Krav-type" som "EV"».
(6)Det var blant annet stilt følgende krav til leveransen: Sikker sletting og destruering
Leverandør skal tilby sletting av data på alle typer lagringsmedier med O verktøy som garanterer sikker og fullstendig sletting i henhold til NSM sine krav på nivå "konfidensiell".
All sletting skal foregå i Norge.
Leverandør skal fjerne all merking, samt rengjøre utstyr før videresalg.
Hvis sikker sletting ikke er mulig skal utstyret granuleres/destrueres i O henhold til NSM sine krav på nivå "konfidensiell".
Leverandør kan tilby degaussing (avmagnetisering) av harddisk på O forespørsel fra kunden.
Egnede verktøy godkjent av NSM skal benyttes ved gjennomføring av O oppdrag.
(7)Innen utløpet av tilbudsfristen mottok innklagede tilbud fra fem leverandører. Tre av tilbudene ble evaluert, herunder tilbud fra Alternativ Data AS (heretter klager), Atea AS og CHG-MERIDIAN Skien AS.
(8)CHG-MERIDIAN Skien AS leverte følgende besvarelse av krav 12 til 18 i sitt tilbud: Sikker Leverandørs besvarelse sletting og destruering
«Vi benytter Blancco produkter godkjent av NSM for sletting av alle typer lagringsmedier i tillegg til telefoner og nettbrett. I tillegg benytter vi Blancco produkter for å slette virtuelle datasett i svært kompliserte konfigurasjoner. Alle enheter slettes opp til sikkerhetsnivå Konfidensiell. Enheter med høyere sikkerhetsnivå (hemmelig og høyere) kan også håndteres, men disse enhetene håndteres da i henhold til prosedyrer for fysisk destruksjon. Enheter som ikke kan slettes med Blancco vil destrueres av oss i henhold til etablerte rutiner for fysisk destruksjon. Tilbyder benytter IKKE degausser som ENESTE verktøy for destruksjon. Men magnetiske enheter degausses først. Det finnes dessverre hybrid disker med en blanding av spinn-disk og SSD disker. Degaussing av SSD disker har ingen sikkerhetsmessig verdi, for degaussingen ødelegger ikke SSD disker. Deretter går alle slike enheter inn i en nedstrøm for granulering/shredding i vår NSM sertifiserte shredder fra Maxx-E-Guard. Norges nye sikkerhetslov setter ikke noe krav til partikkelstørrelse dessverre. Men vi vil uansett granulere alle enheter som ikke kan slettes med Blancco i henhold til DIN 66399 standarden med nivå H5 eller bedre».
«All sletting og destruksjon skjer hos CHG-MERIDIAN Skien AS»
«Alle enheter anonymiseres og rengjøres før de selges videre»
«Se punkt 12.»
«Vi gjør dette, men se punkt 12 for begrunnelse for at dette ikke bør være eneste slettemetode».
«Både Blancco programvare, Maxx-E-Guard shredder samt Degausser Verity Systems V660 HDD EVO er sertifisert av NSM opp til sikkerhetsnivå Konfidensielt».
(9)I brev av 15. november 2019 meddelte innklagede at kontrakten var tildelt CHGMERIDIAN Skien AS (heretter valgte leverandør).
(10)Innklagede inngikk kontrakt med valgte leverandør 18. desember 2019.
(11)Etter å ha fått innsyn i valgte leverandørs tilbud, tok klager kontakt med innklagede 17. februar 2020, og påpekte at det var et avvik i valgte leverandørs tilbud fra krav nr. 15 om sikker destruksjon. Klager ba samtidig om en tilbakemelding på hvorfor innklagede hadde funnet at avviket ikke var vesentlig. Innklagede svarte samme dag: «Først og fremst må jeg få avkrefte at vinnende leverandør ikke oppfyller O-kravene i kravspesifikasjon vedrørende «Sikker sletting og destruksjon». Dette må bero på en misforståelse under vår telefonsamtale 17.02.20 kl. 13.00 angående resultat i 19/01187 Anskaffelse av rammeavtale for avhending av IKT-utstyr. Som du sier har Norsk
Helsenett evaluert vinners besvarelse som god nok - og at avvikene fra kravspesifikasjonen ikke er vesentlige nok til å avvise tilbudet i sin helhet. Vi har poengtert i konkurransegrunnlaget at manglende oppfyllelse av O-krav ikke automatisk fører til en avvisning av tilbudet. Dette vil bero på en helhetsvurdering av mottatte tilbud».
(12)Klager henvendte seg på nytt til innklagede i en e-post av 18. mars 2020, for å få en mer konkret begrunnelse for innklagedes vurderinger.
(13)Innklagede svarte på henvendelsen i e-post av 20. mars 2020: «NHN sin uttalelse om at leverandørs tilbud er vurdert som godt nok og at avvikene ikke er vesentlige nok til å avvise tilbudet i sin helhet, kan med bakgrunn i forbeholdet mot plikt til avvisning, ikke legges til grunn for en forståelse om at "vinnende tilbyder ikke oppfyller i alle fall ett av O‐kravene i kravspesifikasjonen". Dette er presisert også i tidligere svar. NHN har heller ikke funnet grunnlag for avvisning i h.h.t. FOA § 24‐8 (2) bokstav a) eller e) p.g.a. andre avvik fra anskaffelsesdokumentene eller uklarheter som ikke må anses ubetydelige, eller lignende forhold. Henvisningen i O‐kravene til NSM sine krav på nivå "konfidensiell", gjelder NSM sine krav som sikkerhetsmyndighet i h.h.t. sikkerhetsloven § 2‐2, jf. bl.a. virksomhetsforskriften § 23. "Destruksjon av lagringsmedium" gjelder delvis anbefalinger, delvis utfyllende krav for oppfyllelse av lov og forskrift for så vidt gjelder gradering konfidensiell eller høyere. For Solid State lagringsmedier gjelder at maks fragmentstørrelse ikke alene er avgjørende for oppfyllelse. Leverandør har i sitt tilbud bekreftet oppfyllelse av de fastsatte krav. Formålet med rammeavtalen er å sikre at alle sensitive data som er lagret på IKT‐utstyr blir slettet på en sikker måte. At leverandør henviser til anerkjent norm i DIN‐standard med etablert sikkerhetsnivå, "eller bedre", med nærmere beskrivelse, anses således å innebære tilstrekkelig oppfyllelse av krav i og i medhold av sikkerhetsloven. Med bakgrunn i leverandørens tilbudte løsning, ser NHN ingen uakseptabel risiko for potensielle sikkerhetsbrudd for sensitive data ved fortsatt gjennomføring av kontrakten».
(14)Klagen ble brakt inn for Klagenemnda for offentlige anskaffelser 6. mai 2020.
(15)Nemndsmøte i saken ble avholdt 9. november 2020.
Anførsler
Klager har i det vesentlige anført
(16)Valgte leverandørs tilbud inneholder vesentlig avvik fra kravspesifikasjonen, og skulle derfor ha vært avvist.
(17)For det første oppfyller ikke valgte leverandørs tilbud det obligatoriske kravet til sikker destruksjon av Solid State lagringsmedier. Makuleringsverktøyet valgte leverandør har tilbudt oppfyller ikke kravene til fragmentstørrelse, og det fremgår ikke av tilbudet at det tilbys destruksjon ved forbrenning for å oppfylle de obligatoriske kravene nr. 12 og 15 i kravspesifikasjonen.
(18)Dersom avviket ikke anses vesentlig på bakgrunn av at avvik gjelder ufravikelige krav, må avviket uansett anses å være vesentlig på bakgrunn av at det er tale om et krav som ivaretar hovedformålet med anskaffelsen, og som påvirker leverandørenes prising av tilbudene.
(19)For det andre oppfyller tilbudet heller ikke det obligatoriske kravet om at «Egnede verktøy godkjent av NSM skal benyttes ved gjennomføring av oppdrag». Makuleringsvertøyet valgte leverandør skal bruke til destruksjon mangler godkjenning fra NSM.
(20)For det tredje har verken valgte leverandør eller dets underleverandører signert databehandleravtale og lagt dette ved tilbudet, og tilbudet avviker dermed fra krav nr. 1: «Valgte leverandør og eventuelle underleverandører skal signere Norsk Helsenett sin databehandleravtale».
(21)Endelig er det valgte leverandør som til enhver tid må være godkjent av miljødirektoratet, slik det fremgår av krav nr. 36.
(22)Dersom de nevnte avvikene ikke anses vesentlig på bakgrunn av at det gjelder avvik fra ufravikelige krav, må avvik uansett anses å være vesentlig på bakgrunn av at det er tale om et krav som ivaretar hovedformålet med anskaffelsen, og som påvirker leverandørenes prising av tilbudene.
(23)Valgte leverandør opplyste ikke i tilbudet om at Ragn-Sells og dets underleverandører skulle benyttes i destruksjonsformål. Manglende opplysninger om bruk av underleverandører for destruksjonsformål gjør at tilbudet ikke oppfyller krav nr. 10 og nr. 18 i kravspesifikasjonen.
(24)Oppfyllelsen av kravspesifikasjonen, herunder kravene nr. 12 og nr. 15 – gjennom Fortum Oslo Varme, en underleverandør til Ragn-Sells – utgjør en ulovlig forbedring av tilbudet i strid med forskriften § 23-5 andre ledd.
Innklagede har i det vesentlige anført
(25)Det er ingen formuleringer i tilbudet som gir objektive holdepunkter for at den destruksjonen av Solid State lagringsmedier som valgte leverandør har tilbudt, ikke oppfyller de fastsatte kravene i konkurransegrunnlaget.
(26)Valgte leverandør har uttrykkelig bekreftet at underleverandør Ragn-Sells sender elektronisk avfall til godkjent norsk forbrenningsanlegg dersom dette er nødvendig for å oppfylle krav til sikker destruksjon. I 99 prosent av tilfellene vil Ragn-Sells benytte Fortum Oslo Varme AS, hvor forbrenning skjer på rundt 850 grader celsius.
(27)Det fremkommer også klart av konkurransegrunnlaget at avvik fra «O»-krav ikke automatisk fører til en avvisning av tilbudet. Et eventuelt avvik er ikke vesentlig, da Solid State lagringsmedier utgjør en svært liten andel av den total mengden lagringsmedier kontrakten omfatter. Et eventuelt avvik utgjør dermed en meget liten andel av den totale anskaffelsen.
(28)Det er uten betydning av valgte leverandørs makuleringsmaskin ikke har godkjenning fra NSM. Slik godkjenning er ikke lenger mulig å få, ettersom NSM ikke har en egen godkjenningsordning for verktøy til fysisk tilintetgjøring av lagringsmedier. Godkjenningen utstedt i 2012, er ikke lenger gyldig.
(29)Det er ikke stilt krav om at leverandørene må levere signert databehandlingsavtale ved inngivelse av tilbud. Valgte leverandørs tilbud inneholder derfor ikke et avvik fra krav nr. 1.
(30)Det er også feil at tilbudet inneholder avvik fra krav nr. 10 og 18. Ved tilbudet var det vedlagt forpliktelseserklæring fra Ragn-Sells. Støtten til oppfyllelse av avtalen omfatter all nødvendig restbehandling for sikker avhending av elektronisk avfall. Det innebærer heller ikke en forbedring av tilbudet at det i senere tid har blitt avklart at det er Fortum Oslo Varme AS som skal utføre forbrenning på vegne av Ragn-Sells.
Klagenemndas vurdering
(31)Klager har deltatt i konkurransen, og har saklig klageinteresse, jf. forskrift om klagenemnd for offentlige anskaffelser § 6. Klagen er rettidig. Konkurransen gjelder avhending av IKT utstyr, som er en tjenesteanskaffelse. Anskaffelsens verdi er estimert til 1 350 000 kroner, ekskl. mva. I tillegg til lov om offentlige anskaffelser av 17. juni 2016 nr. 73 følger anskaffelsen forskrift om offentlige anskaffelser av 12. august 2016 nr. 974 del I og del III, jf. forskriften §§ 5-1 og 5-3. Vesentlig avvik i valgte leverandørs tilbud
(32)Klager anfører at innklagede har brutt regelverket ved ikke å avvise tilbudet fra valgte leverandør.
(33)Det følger av forskriften § 24-8 (1) bokstav b at oppdragsgiver skal avvise et tilbud som inneholder «vesentlige avvik» fra anskaffelsesdokumentene.
(34)Klagenemnda vurderer først om det foreligger et avvik i valgte leverandørs tilbud.
(35)Avvik foreligger dersom oppdragsgiver – ved å akseptere tilbudet – ikke kan kreve oppfyllelse i henhold til konkurransegrunnlagets kravspesifikasjon. Hvorvidt et tilbud inneholder avvik beror på en tolkning av tilbudet i lys av konkurransegrunnlaget.
(36)Det fulgte av krav nr. 12 i kravspesifikasjonen at leverandørene skulle tilby «sletting av data på alle typer lagringsmedier med verktøy som garanterer sikker og fullstendig sletting i henhold til NSM sine krav på nivå "konfidensiell"».
(37)Kravet henger sammen med krav nr. 15, hvor det fremgår at «[h]vis sikker sletting ikke er mulig skal utstyret granuleres/destrueres i henhold til NSM sine krav på nivå "konfidensiell"».
(38)For nivået «Konfidensiell» har NSM (Nasjonal sikkerhetsmyndighet) stilt følgende krav til sikker destruksjon av SSD-lagringsmedier: «Solid State lagringsmedier (RAM, ROM, FPGA, SC, minnepinner, minnekort og SSD disker) Mekanisk makulering • Fjern all merking • Bruk verktøy som maler, kutter eller knuser til fragmentstørrelse på 2 x 2 mm eller mindre.
Fragmentenes enkelte sider kan ikke være lenger enn 2 mm. • Makuler flere enheter samtidig om mulig Forbrenning Om fragmentstørrelsen overskrider målene over, ansees data for destruert om fragmentene varmes opp til minst 650 ̊ C i ettertid. NSM understreker at lagringsmediene må males, kuttes eller knuses først, for å sikre at eventuell plastkapsling rundt minnebrikken er ødelagt før oppvarming».
(39)For å oppfylle NSMs krav til destruksjon av SSD-lagringsmedier, må altså lagringsmediene makuleres mekanisk til fragmenter med en maksimal størrelse på 2x2 mm på hvert fragment. Dersom det ikke er mulig å oppnå denne størrelsen, må fragmentene forbrennes på minst 650 grader.
(40)Av valgte leverandørs tilbud fremgikk det at SSD-lagringsmedier ikke kunne behandles slik at sikker sletting kunne garanteres, og at disse derfor måtte destrueres. Det er enighet om at valgte leverandørs tilbud dermed må oppfylle krav nr. 15.
(41)Uenigheten mellom partene knytter seg til om valgte leverandørs tilbud oppfyller kravene til destruksjon i krav nr. 15, det vil si om utstyret valgte leverandør vil benytte er i stand til å makulere SSD-lagringsmedier til fragmentstørrelser på maksimalt 2x2 mm, eller om kravet oppfylles ved etterfølgende forbrenning på minst 650 grader celsius.
(42)Av valgte leverandørs tilbud fremgikk det at SSD-lagringsmedier skulle gå «inn i en nedstrøm for granulering/shredding i vår NSM sertifiserte shredder fra Maxx-E-Guard. Norges nye sikkerhetslov setter ikke noe krav til partikkelstørrelse dessverre. Men vi vil uansett granulere alle enheter som ikke kan slettes med Blancco i henhold til DIN 66399 standarden med nivå H5 eller bedre».
(43)Klagenemnda påpeker først at det i løpet av saksforberedelsene for nemnda har blitt klargjort at makuleringsmaskinen Maxx-E-Guard ikke innehar godkjenning fra NSM. NSM utsteder ikke lenger slike godkjenninger på verktøy. Godkjenningen for Max-EGuard fra 2012 er utløpt, og basert på utdaterte retningslinjer. Det er dermed uten betydning for vurderingen av om kravet er oppfylt at valgte leverandør har tilbudt en «sertifisert» makuleringsmaskin.
(44)Videre fremgikk det at makulering skulle skje i henhold til DIN 66399-standard på «nivå H5 eller bedre». Slik det fremgår av dokumentasjonen fremlagt for klagenemnda, innebærer det angitte nivået H5 et krav om fragmentstørrelse på maksimalt 320 kvadratmillimeter. Makulering i henhold til denne standarden er en klar overskridelse av NSM sitt krav om maksimalt 2x2 mm. Formuleringen H5 «eller bedre», er i beste fall uklar. Denne uklarheten må valgte leverandør bære risikoen for, jf. forskriften § 23-3 (2). Formuleringen kan etter nemndas syn ikke forstås slik at valgte leverandør med dette har levert et tilbud hvor kravene til destruering er oppfylt. Tilbudet inneholder heller ingen andre opplysninger om kuttegenskaper eller kapasitet for den tilbudte makuleringsmaskinen. Det kan dermed ikke legges til grunn at valgte leverandør oppfyller kravet om sikker destruksjon av SSD-lagringsmedier ved mekanisk makulering.
(45)Slik det fremgår av valgte leverandørs tilbud legges det til grunn at destruksjon skal gjennomføres mekanisk. Etterfølgende forbrenning av oppkuttede fragmenter er ikke
nevnt i tilbudet, og det er samtidig opplyst at all destruksjon skjer hos valgte leverandør. Kravet om sikker destruksjon av SSD-lagringsmedier i henhold til NSMs krav, er dermed ikke oppfylt – verken ved mekanisk makulering eller etterfølgende forbrenning.
(46)Det foreligger etter dette et avvik i valgte leverandørs tilbud.
(47)Spørsmålet i det videre er om avviket er vesentlig, og dermed om innklagede hadde plikt til å avvise valgte leverandørs tilbud.
(48)Ved vurderingen av om et avvik er vesentlig, må det ses hen til blant annet hvor stort avviket er, hvor viktig forholdet det avvikes fra er, og i hvilken grad et avvik vil kunne forrykke konkurransen, jf. eksempelvis klagenemndas avgjørelse i sak 2018/494. Avvik fra krav som oppdragsgiver har angitt som «absolutte» eller lignende, vil som et klart utgangspunkt anses vesentlige, jf. blant annet kjennelsen fra Borgarting lagmannsrett i LB-2010-115884. Slike krav må normalt forstås slik at de er ufravikelige. For potensielle leverandører er det naturlig å lese det slik at tilbud som inneholder avvik fra slike krav, vil bli avvist uten noen nærmere vurdering av avvikets størrelse eller betydning, jf. eksempelvis sak 2020/72, avsnitt 26. Det er videre på det rene at noen krav må anses ufravikelige ut fra det synspunkt at de gjelder «grundlæggende udbudsbetingelser», jf. EU-domstolens avgjørelse i sak C-243/89 Storebælt. Slike krav vil det være naturlig å anse som ufravikelige uavhengig av om oppdragsgiver har beskrevet dem som «absolutte» eller lignende.
(49)Kravet om at utstyret skulle granuleres/destrueres i henhold til NSM sine krav på nivå «Konfidensiell», var nettopp angitt som et «O»-krav, det vil si et obligatorisk krav.
(50)Av konkurransegrunnlaget fremgår det imidlertid at «[d]ersom et O-krav ikke er oppfylt kan tilbudet bli avvist […]» (uthevet her). Det er derfor ikke helt klart for klagenemnda om innklagede her har ment å oppstille ufravikelige krav. Klagenemnda finner imidlertid ikke grunn til å ta endelig stilling til dette. Uavhengig av denne uklarheten, mener klagenemnda at avviket fra det aktuelle kravet må anses som vesentlig.
(51)Viktigheten av sikker sletting og destruksjon kommer til uttrykk på flere ulike punkter i konkurransegrunnlaget. Formålet med anskaffelsen, slik det fremkommer av konkurransegrunnlaget, er å «[…] sikre at alle sensitive data som er lagret på IKT-utstyr blir slettet på en sikker måte før utstyret blir gjenvunnet eller solgt. Brukt IKT utstyr som ikke er egnet for gjenbruk, gjenvinning eller salg skal destrueres […]». Valgte leverandør skal håndtere IKT-utstyr – og herunder blant annet SSD-lagringsmedier på vegne av 12 ulike aktører i helseforvaltningen, som alle lagrer sensitive personopplysninger. Foruten å være sentralt i anskaffelsen, er sikker håndtering av slike opplysninger grunnleggende viktig i offentlig virksomhet. Klagenemnda mener derfor at det er tale om et krav som skal ivareta anskaffelsens hovedformål. Til dette kommer at kravet som NSM har stilt for å sikre tilfredsstillende destruksjon av SSD-lagringsmedier, er svært strengt. På denne bakgrunn kan det ikke være av avgjørende betydning at avviket kun gjelder ett av flere ulike lagringsmedier som er omfattet av anskaffelsen.
(52)Avviket må på denne bakgrunn anses vesentlig. Innklagede har dermed brutt regelverket ved ikke å avvise valgte leverandørs tilbud, jf. forskriften § 24-8 (1) bokstav b.
(53)Bruddet på regelverket som klagenemnda har konstatert ovenfor, har påvirket resultatet av konkurransen. Klagegebyret skal derfor tilbakebetales, jf. klagenemndsforskriften § 13.
Konklusjon
Norsk Helsenett SF har brutt regelverket for offentlige anskaffelser ved ikke å avvise valgte leverandørs tilbud.
For Klagenemnda for offentlige anskaffelser, Alf Amund Gulsvik
────────────────────────────────────────────────────────────
Refererte rettskilder
- FOA 2017 § 24-8 — Avvisningsplikt ved vesentlig avvik fra anskaffelsesdokumentene – hjemmelsgrunnlag for konklusjonen
- FOA 2017 § 23-3 — Tilbyderens risikoansvar for uklarheter i eget tilbud
- FOA 2017 § 23-5 — Forbud mot ulovlig forbedring av tilbud – anført av klager, ikke behandlet av KOFA
- FOA 2017 § 5-1 — Virkeområde del I – grunnlag for regelverkanvendelse
- FOA 2017 § 5-3 — Virkeområde del III – grunnlag for regelverksanvendelse over EØS-terskel
- LOA 2017 § 1 — Lov om offentlige anskaffelser av 17. juni 2016 nr. 73 – parallelt regelgrunnlag
- KOFA 2018/494 — Momenter i vesentlighetsvurderingen: avvikets størrelse, viktighet og konkurransepåvirkning
- KOFA 2020/72 — Avvik fra absolutte krav anses vesentlige; leverandørers berettigede forventning om avvisning
- C-243/89 (Storebælt) — Krav som gjelder grunnleggende anbudsvilkår er ufravikelige uavhengig av om de er betegnet som absolutte
- FOA 2017 § 6 — Klagenemndsforskriften § 6 – klagers saklige klageinteresse