KOFA-AVGJØRELSE
KOFA 2023/0714: Krav om datalagring i Norge var ulovlig
Faktum
Trysil kommune kunngjorde 24. april 2023 en åpen anbudskonkurranse om leie av disposisjonsrett for et skybasert fagsystem til Pedagogisk-psykologisk tjeneste (PPT). Anskaffelsens verdi var ifølge kommunen under 2,2 millioner kroner. I kravspesifikasjonens punkt 1.1 var det oppstilt et absolutt krav om at «data [til fagsystemet] må være lagret i Norge». Systemet skulle håndtere sensitive personopplysninger, ikke fungere som arkivløsning, men fortløpende og automatisk overføre dokumenter til kommunens eksisterende arkivsystem (Visma Samhandling Arkiv). To leverandører leverte tilbud. Klager Vitec HK data AS hadde datasenter i Umeå, Sverige, og ble avvist fordi tilbudet ikke oppfylte datalagringskravet. Kommunen begrunnet kravet med behovet for vern av personopplysninger og overholdelse av arkivlova § 9 bokstav b. Klager anførte at kravet var ulovlig diskriminerende og at konkurransen skulle ha vært avlyst.
KOFAs vurdering
1. Rettslig utgangspunkt og spørsmålet om konkurransebegrensning
Rettsregelen: Etter FOA 2017 § 8-5 annet ledd skal krav til ytelsen «ha tilknytning til leveransen og stå i forhold til anskaffelsens formål og verdi». Krav som er strengere enn nødvendig, strider mot formålet om effektive anskaffelser i LOA 2017 § 1 og prinsippet om konkurranse i LOA 2017 § 4. KOFA viste til egne avgjørelser i sakene 2022/138 og 2021/1416 om at krav ikke må utformes «på en måte som virker konkurransebegrensende uten at dette kan begrunnes på en saklig og objektiv måte». Avgjørende faktum: Kravet om norsk datalagring var absolutt og krevde at alle leverandører hadde – eller etablerte – servere i Norge. Norske leverandører med eksisterende norsk infrastruktur fikk dermed et konkurransefortrinn. Delkonklusjon: Kravet virket konkurransebegrensende.
2. Personvernforordningen som begrunnelse
Rettsregelen: Personopplysningsloven (lov 2018 nr. 38) § 1 inkorporerer personvernforordningen (EU) 2016/679. Forordningens artikkel 1 fastslår fri overføring av personopplysninger mellom EU/EØS-stater forutsatt etterlevelse av forordningen, mens artikkel 32 nr. 1 forplikter alle medlemsstater til å gjennomføre egnede tekniske og organisatoriske tiltak for tilstrekkelig sikkerhetsnivå. KOFAs tolkning: Samtlige EØS-stater er presumptivt forpliktet til samme sikkerhetsnivå. Delkonklusjon: Behovet for vern av personopplysninger kunne ikke begrunne et krav som vanskeliggjorde deltakelse fra leverandører etablert i EØS-stater «med presumptivt samme grad av sikkerhet som Norge».
3. Arkivlova § 9 bokstav b som begrunnelse
Rettsregelen: Arkivlova § 9 bokstav b oppstiller et utførselsforbud mot å føre «arkivmateriale» ut av landet, med unntak bl.a. for «naudsynt del» av forvaltningsmessig eller rettslig bruk. KOFAs tolkning: Skytjenesteteknologi fantes ikke da loven ble vedtatt i 1992, og ordlyden må forstås i lys av formålet i § 1 om sikring og tilgjengeliggjøring for ettertiden. Med støtte i NOU 2019:9 punkt 18.2.1 og tilhørende høringsnotat la KOFA til grunn at utførselsforbudet ikke er til hinder for behandling i utenlandsk skytjeneste, «så lenge arkivmaterialet blir lagra fortløpande på ein server i Noreg». Avgjørende faktum: Fagsystemet for PPT skulle ikke selv være et arkiv; dokumentene ble fortløpende og automatisk overført til kommunens eget arkivsystem i Norge. Fagsystemets behandling sidestilles dermed med håndtering av digitale kopier av arkivmateriale. Delkonklusjon: Arkivlova § 9 bokstav b kom ikke til anvendelse og ga ikke saklig grunnlag for kravet.
4. Avlysningsplikt
Ettersom kravet var ulovlig og oppstilt som absolutt minimumskrav, kunne det ikke utelukkes at det hadde påvirket utfallet av konkurransen eller deltakerinteressen. KOFA fastslo avlysningsplikt med henvisning til HR-2019-1801-A avsnitt 85 og EFTA-domstolens uttalelse i sak E-16/16 avsnitt 106.
Konklusjon
KOFA konkluderte med at Trysil kommune hadde brutt anskaffelsesregelverket ved å stille et absolutt krav om at data i fagsystemet PPT skulle lagres i Norge. Kravet var konkurransebegrensende og lot seg ikke begrunne i hensynet til personvern etter GDPR eller utførselsforbudet i arkivlova § 9 bokstav b. Det forelå avlysningsplikt. Klagegebyret tilbakeføres klager.
Praktisk betydning
Avgjørelsen klargjør at oppdragsgivere ikke automatisk kan stille absolutte krav om nasjonal datalagring i skytjenester med henvisning til personvernregelverket eller arkivlova. GDPR etablerer et felles sikkerhetsnivå i EØS, som gjør at geografisk begrensning til Norge ikke uten videre er saklig begrunnet. For arkivlova slår KOFA fast at utførselsforbudet ikke hindrer bruk av utenlandsk skytjeneste dersom arkivmateriale fortløpende lagres på norsk server. Oppdragsgivere som ønsker krav knyttet til datalagring, bør utforme disse på en måte som er proporsjonale med anskaffelsens formål og ikke utelukker EØS-leverandører uten tilstrekkelig saklig begrunnelse.
Hele KOFA-avgj\u00f8relsen (klikk for \u00e5 skjule)
Saken gjelder:
Avlysning/totalforkastelse
Trysil kommune hadde kunngjort en åpen tilbudskonkurranse for anskaffelse av kontrakt om leie av disposisjonsrett for fagsystem til Pedagogisk-psykologisk tjeneste (PPT). I kravspesifikasjonen var det oppstilt et krav om at data som fagsystemet skulle håndtere, måtte være lagret i Norge. Klager anførte at kravet var ulovlig da det var diskriminerende og konkurransebegrensende. Klagenemnda kom til at kravet var ulovlig og at det forelå avlysningsplikt. Klagenemndas avgjørelse 11. juni 2024 i sak 2023/0714 Klager:
Vitec HK data AS
Innklaget:
Trysil kommune
Klagenemndas medlemmer:
Tarjei Bekkedal, Christina Paludan Melson og Wenche Sædal
Bakgrunn:
Trysil kommune (heretter innklagede) kunngjorde 24. april 2023 en åpen tilbudskonkurranse for anskaffelse av kontrakt om leie av disposisjonsrett for fagsystem til Pedagogisk-psykologisk tjeneste (PPT). Anskaffelsens verdi er ikke oppgitt i konkurransedokumentene, men ble opplyst til å være under 2,2 millioner kroner. Tilbudsfristen var 24. mai 2023.
I kunngjøringen fremgikk det at formålet med anskaffelsen, var å dekke oppdragsgivers løpende behov for fagsystem til PPT, herunder være et «viktig arbeidsverktøy for å sikre en god og sikker saksbehandling av PPT-saker». Løsningen skulle være det «primære arbeidsverktøyet for PPT-tjenesten».
Det var gitt både absolutte krav og ønskede krav i kravspesifikasjonen. I kravspesifikasjonen punkt 1.1 var det absolutt krav om at «(…) Data må være lagret i Norge». Videre var det i kravspesifikasjonen punkt 2.10 et absolutt krav om at løsningen måtte kunne «sende/motta, samhandle og dele dokumenter til skole/barnehage/barnevern/helsestasjon via SvarUt/Inn og felles digitale samhandlingsverktøy». Dernest fulgte det av kravspesifikasjonen punkt 2.11 et absolutt krav som lød slik: «Dagens løsninger bruker kommunen sin arkivløsning, samt noe fysisk arkiv. Den nye løsningen må kunne kobles til et sikkert arkiv, og arkivering må kunne skje automatisk fra fagsystem uten manuelle prosesser».
Det fremgikk også av kravspesifikasjonen punkt 4.3 et absolutt krav om at «Tilbudt systemløsning skal være en sky-/webtjeneste uten behov for lokale servertjenester».
Innen tilbudsfristens utløp hadde to leverandører levert tilbud; Visma Enterprise AS (valgte leverandør), og Vitec HK data as (heretter klager). I tilbudet til klager fremgikk det at datasentrene til klager var stasjonert ved Umeå i Sverige.
I brev 15. juni 2023 ble klagers tilbud avvist fra konkurransen. Begrunnelsen var blant annet at klager hadde tilbudt en løsning hvor dataen for fagsystemet skulle lagres i Sverige, og ikke Norge. Beslutningen ble påklaget 22. juni 2023. Innklagede avviste klagen 26. juni 2023.
Klager brakte saken inn for Klagenemnda for offentlige anskaffelser 19. desember 2023. I klagen ble det blant annet opplyst følgende om saken: «(…) Krav (absolutt må-krav) fra oppdragsgiver: Systemet må benytte norsk språk. Data skal lagres i Norge. Vår leveranse: Systemet er på norsk. Data lagres i Sverige.»
Nemndsmøte i saken ble avholdt 3. juni 2024.
Dagen etter nemndsmøtet stilte klagenemnda spørsmål til innklagede om de kunne redegjøre nærmere for hva som skulle anskaffes. Det ble stilt følgende spørsmål: «1. Var det slik at kommunens arkivløsning skulle videreføres, og at dokumenter fra blant annet skole/barnehage m.m., som inngikk i fagsystemet, automatisk og kontinuerlig skulle lagres i kommunens eget arkivsystem? 2. Skulle fagsystemet også tjene som arkivløsning? Beskriv i så fall på hvilken måte. 3. Hvordan skulle samhandlingen mellom fagsystemet og arkiv foregå?».
(10) Innklagede besvarte spørsmålene i e-post 5. juni 2023: «(…) Svar [på spørsmål 1]: Oppdragsgiver bruker i dag Visma Samhandling Arkiv for arkivering i sikker sone. Dette benyttes i dag på tvers av skole/barnehage mv., og nytt fagsystem for PPT skal integreres mot Visma Samhandling Arkiv (…). Svar [på spørsmål 2]: Nei, fagsystemet skal ikke tjene som en arkivløsning, men kontinuerlig og automatisk overføre data fra fagsystem til arkivsystem i sikker sone. Fagsystemet skal integreres mot arkivløsningen Visma Samhandling Arkiv, ref. punkter i prisskjema og kravspesifikasjon (…) Svar [på spørsmål 3]: Samhandlingen mellom arkiv og fagsystem skal foregå automatisk, uten manuelle prosesser, ref. kravspesifikasjonens punkt 2.11». Anførsler: Klager har i det vesentlige anført:
(11) Kravet om at data skal lagres i Norge er ulovlig da det virker diskriminerende for utenlandske aktører. Konkurransen skulle derfor ha vært avlyst.
Innklagede har i det vesentlige anført:
(12) Kravet om at datalagringen skal skje i Norge er lovlig, da det gir en ekstra sikkerhet å ha lagringen av persondata i Norge. Alle ledd i verdikjeden for systemleveransen er da underlagt norsk reglement og rett. Systemet brukes i saksbehandling innenfor sikker sone og det er viktig at man har en trygg oppbevaring av sensitiv personinformasjon og prosesseringen av denne. Kravet er ikke diskriminerende da det er et minimumskrav til ytelsen. Det var mulig for klager å etablere datalagring i Norge for å oppfylle kravet.
(13) Videre følger det av arkivlova § 9 bokstav b en plikt til å ikke føre data ut av landet. Utførsel av data i denne sammenhengen er ikke en nødvendig del av den forvaltningsmessige eller rettslige bruken av dokumentene. Klagenemndas vurdering:
(14) Klager har deltatt i konkurransen, og har saklig klageinteresse, jf. forskrift om klagenemnd for offentlige anskaffelser § 6. Klagen er rettidig. Konkurransen gjelder anskaffelse av skytjenester for PPT. Anskaffelsens verdi er opplyst å være under 2,2 millioner kroner. I tillegg til lov om offentlige anskaffelser 17. juni 2016 nr. 73 følger anskaffelsen forskrift om offentlige anskaffelser 12. august 2016 nr. 974 del I og II, jf. forskriften §§ 5-1 og 5-3.
(15) Det tas i det følgende stilling til om innklagede har brutt anskaffelsesregelverket ved å stille et ulovlig krav i kravspesifikasjonen.
(16) Anskaffelsesforskriften § 8-5 fastsetter hvilke krav som kan stilles til ytelsen som skal anskaffes. I andre ledd går det frem at kravene «skal ha tilknytning til leveransen og stå i forhold til anskaffelsens formål og verdi». I dette ligger det blant annet at det ikke skal settes krav til ytelsen som er strengere enn det som er nødvendig for å oppnå formålet med anskaffelsen. Kravene skal med andre ord ikke medføre unødvendige begrensninger i konkurransen, i strid med formålet om effektive anskaffelser i anskaffelsesloven § 1 og prinsippet om konkurranse i lovens § 4.
(17) Kravene til ytelsen må dermed ikke utformes på en måte som virker konkurransebegrensende uten at dette kan begrunnes på en saklig og objektiv måte, se blant annet klagenemndas avgjørelser i sakene 2022/138 avsnitt 19 og 2021/1416 avsnitt 30.
(18) Det omstridte kravet er et minstekrav om at «data [til fagsystemet] skal lagres i Norge». Fagsystemet som innklagede skulle anskaffe, gjaldt Pedagogisk-Psykologisk tjeneste (PPT). I kravspesifikasjonen punkt 4.3 fremgår det at systemet skulle være en skytjeneste. Systemet skal etter det opplyste inneholde sensitive personopplysninger.
(19) Det første spørsmålet konkurransebegrensende.
klagenemnda
datalagringskravet
(20) Kravet til at data skulle lagres i Norge var et absolutt krav. Samtlige leverandører måtte dermed ha etablerte, eventuelt etablere servere i Norge, for å kunne levere i henhold til konkurransegrunnlaget. Selv om utenlandske aktører kan etablere servere i Norge, bidrar kravet til å vanskeliggjøre utenlandske leverandørers deltakelse i konkurransen. Norske leverandører med infrastruktur etablert i Norge vil dermed ha et konkurransefortrinn. Kravet om datalagring i Norge virker dermed konkurransebegrensende.
(21) Spørsmålet for klagenemnda blir så om begrunnelsen for det konkurransebegrensende kravet er saklig. Innklagede har anført både sikkerhetshensyn knyttet til vern av persondata, og overholdelse av norsk rett som grunnlag for kravet.
(22) I utgangspunktet følger det av lov 15. juni 2018 nr. 38 om behandling av personopplysninger (heretter personopplysningsloven) § 1 at Norge har direkteinkorporert EØS-avtalens vedlegg XI nr. 5e (forordning (EU) 2016/679) om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (heretter personvernforordningen).
(23) Av personvernforordningen artikkel 1 følger det at så lenge man oppfyller kravene i forordningen og er etablert i en EU/EØS-stat, innebærer etableringsretten og prinsippet om fri flyt av varer og tjenester at personopplysninger i utgangspunktet skal kunne overføres til andre EU/EØS-stater. Videre følger det av artikkel 32 nr. 1 at samtlige medlemsstater må «gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen (…)». Samtlige medlemsstater er dermed forpliktet til å håndtere personopplysninger på en tilstrekkelig sikker måte.
(24) Å oppstille et krav om datalagring i Norge, som vanskeliggjør konkurransen for andre EØS-stater med presumptivt samme grad av sikkerhet som Norge, lar seg dermed ikke begrunne ved å vise til behov for vern av personvernopplysninger.
(25) Innklagede har imidlertid anført at kravet også var oppstilt for å overholde lov 12. april 1992 nr. 126 om arkiv (heretter arkivlova) § 9 bokstav b. Det var videre et ønske om at opplysningene skulle være underlagt norsk rett.
(26) Klagenemnda viser til at det gjelder et utførselsforbud mot å føre «arkivmateriale» ut av landet, såfremt dette ikke representerer en «naudsynt del» av den «forvaltningsmessige eller rettslege bruken av dokumenta», eller er unntatt på andre måter i medhold av arkivlova § 12, jf. lovens § 9 bokstav b.
(27) Arkiv er legaldefinert i arkivlova § 2. Der fremgår det at arkiv er et «dokument» som «vert til som lekk i ei verksemd». Ordet «dokument» er definert som en «logisk avgrensa informasjonsmengd som er lagra på eit medium for seinare lesing, lyding, framsyning eller overføring», jf. § 2 bokstav a og b. Den vide legaldefinisjonen av «arkiv» bidrar til å sikre at ethvert dokument som blir til i forbindelse med arbeidet som en offentlig virksomhet foretar seg, i utgangspunktet vil være underlagt arkivlovas bestemmelser.
(28) Om «arkivmateriale» skal forstås like vidt i alle sammenhenger er ikke åpenbart. I foreliggende sak skulle innklagede anskaffe en skytjeneste, som forutsetter lagring av data på fysiske servere, men som samtidig er digitalt tilgjengelige for brukerne av skytjenesten. Klagenemnda bemerker at skytjenesteteknologi ikke var utviklet da arkivlova ble vedtatt i 1992. Det foreligger dermed ikke forarbeider til loven som bidrar til å klargjøre hvordan loven skal forstås i lys av de teknologiske utviklingene som har foregått i nyere tid.
(29) Et utførselsforbud av arkivmateriale – dersom det forstås slik arkiv er legaldefinert – kan skape rettslige og praktiske utfordringer. Tatt på ordet vil et slikt forbud kunne være til hinder for utførsel, behandling og deling av nærmest et hvert dokument. En slik tolkning vil gå lenger enn det som er nødvendig for å oppfylle arkivlovas formål, som er å sikre lagring og tilgjengeliggjøring av offentlige dokument for ettertiden, jf. arkivlova § 1.
(30) I NOU 2019:9 punkt 18.2.1, som var en utredning for ny arkivlov, ble bruk av skytjenester i det offentlige vurdert. Det ble i den forbindelse uttalt at arkivlova «ikke [er] til hinder for at skytjenester kan brukes for dokumentasjon». Men, det ble likevel fremhevet at serverne som lagret dokumentasjonen, i så tilfelle måtte «ligge i Norge», for å overholde arkivlova. Dette gjør at utførselsforbudet i utgangspunktet «gjelder alle typer dokumentasjon, uansett hvor verdifull eller lite verdifull den er. De aller fleste fagsystemer inneholder dokumentasjon som skal bevares i tråd med arkivlova, og dermed treffer forbudet i arkivlova § 9 svært bredt».
(31) I høringsnotatet til nevnte forarbeid fremheves en begrensning i rekkevidden til utførselsforbudet. Det presiseres på side 147 at arkivlova § 9 bokstav b ikke blir sett på «som å vere til hinder for bruk av utanlandske skytenester for kontorstøtte, kommunikasjon og samhandling som behandler arkivmateriale, så lenge arkivmaterialet blir lagra fortløpande på ein server i Noreg». Videre uttales det at regelverket «blir heller ikkje rekna å vere til hinder for lagring av eventuelle kopiar i utlandet, så lenge det komplette arkivet er lagra i Noreg. Så lenge det komplette arkivet og sikkerhetskopi eller andre former for løysingar som skal sikre redundans, er i Noreg, har Riksarkivaren lagt til grunn at kopiar kan vere i utlandet».
(32) Det er klagenemndas syn at ovennevnte avgrensning av utførselsforbudets rekkevidde harmonerer godt med arkivlovas formål og praktiske hensyn. I tilfeller hvor det skjer en fortløpende lagring av arkivmaterialet som håndteres i skytjenesten, vil arkivet sikres og tilgjengeliggjøres for ettertiden – samtidig som man kan bruke dokumentene og behandle dem i skytjenester som har sine servere i et annet land.
(33) I foreliggende sak har innklagede utlyst konkurranse for anskaffelse av fagsystemet PPT. Dette skulle ikke være et arkivsystem, eller erstatte kommunens arkiv. Dokumentene i fagsystemet skulle fortløpende og automatisk lagres i kommunens eget arkiv. Fagsystemets behandling av dokumentene må dermed sidestilles med lovlig håndtering av digitale kopier av arkivmateriale. Utførselsforbudet får dermed ikke anvendelse.
(34) Følgelig utgjorde ikke hensynet til å overholde arkivlova § 9 bokstav b et saklig behov for å oppstille det konkurransebegrensende lagringskravet. Klagenemnda har på bakgrunn av det gjennomgåtte kommet til at kravet om at dataen til fagsystemet måtte lagres i Norge, var ulovlig. Siden dette var oppstilt som et minimumskrav i konkurransen, kan det ikke utelukkes at det ulovlige kravet har påvirket utfallet av konkurransen eller deltakerinteressen. Det forelå dermed plikt til å avlyse konkurransen, jf. blant annet HR2019-1801-A avsnitt 85 og EFTA-domstolens uttalelse i sak E-16/16 avsnitt 106.
(35) Klagers anførsler har med dette ført frem. Klagegebyret vil derfor tilbakebetales, jf. klagenemndforskriften § 13.
Konklusjon: Trysil kommune har brutt anskaffelsesregelverket ved å oppstille et krav om at dataen til fagsystemet PPT skulle lagres i Norge.
For Klagenemnda for offentlige anskaffelser, Tarjei Bekkedal
────────────────────────────────────────────────────────────
Refererte rettskilder
- FOA 2017 § 8-5 — Krav til ytelsen skal ha tilknytning til leveransen og stå i forhold til anskaffelsens formål og verdi – grunnlag for vurdering av datalagringskravets lovlighet
- FOA 2017 § 5-1 — Bestemmelse om at del I av forskriften gjelder for anskaffelsen
- FOA 2017 § 5-3 — Bestemmelse om at del II av forskriften gjelder for anskaffelsen
- LOA 2017 § 1 — Formålet om effektive anskaffelser – krav om at ytelseskrav ikke medfører unødvendige konkurransebegrensninger
- LOA 2017 § 4 — Prinsippet om konkurranse – vurdering av om datalagringskravet var i strid med dette
- ikke spesifisert i avgjørelsen § ikke spesifisert i avgjørelsen — ikke spesifisert i avgjørelsen
- Direktiv forordning (EU) 2016/679 (GDPR) art. 1 — Fri overføring av personopplysninger mellom EU/EØS-stater – brukt til å avvise personvern som begrunnelse for norsk datalagringsplikt
- Direktiv forordning (EU) 2016/679 (GDPR) art. 32 — Krav om egnede tekniske og organisatoriske tiltak for sikkerhetsnivå – alle EØS-stater presumptivt forpliktet til tilsvarende sikkerhet som Norge
- ikke spesifisert i avgjørelsen § ikke spesifisert i avgjørelsen — Personopplysningsloven (lov 15. juni 2018 nr. 38) § 1 – inkorporerer GDPR i norsk rett; ble lagt til grunn som relevant ramme for personvernvurderingen
- NOU 2019:9 punkt 18.2.1 — Utredning til ny arkivlov – drøfter bruk av skytjenester i offentlig sektor og rekkevidde av utførselsforbudet i arkivlova § 9 bokstav b
- KOFA 2022/138 — Rettssetning om at krav til ytelsen ikke må utformes på en måte som virker konkurransebegrensende uten saklig og objektiv begrunnelse
- KOFA 2021/1416 — Samme rettssetning om konkurransebegrensende ytelseskrav som i sak 2022/138
- E-16/16 (EFTA-domstolens rådgivende uttalelse) — Avsnitt 106 – brukt som rettskildemessig støtte for avlysningsplikt ved ulovlige krav i konkurransegrunnlaget
- HR-2019-1801-A (Høyesterettsdom) — Avsnitt 85 – rettssetning om avlysningsplikt når ulovlig krav ikke kan utelukkes å ha påvirket utfall eller deltakerinteresse