KOFA 2023/714: Krav om datalagring i Norge var ulovlig

Saken gjelder: Avlysning/totalforkastelse Trysil kommune hadde kunngjort en åpen tilbudskonkurranse for anskaffelse av kontrakt om leie av disposisjonsrett for fagsystem til Pedagogisk-psykologisk tjeneste (PPT). I kravspesifikasjonen var det oppstilt et krav om at data som fagsystemet skulle håndtere, måtte være lagret i Norge. Klager anførte at kravet var ulovlig da det var diskriminerende og konkurransebegrensende. Klagenemnda kom til at kravet var ulovlig og at det forelå avlysningsplikt. Klagenemndas avgjørelse 11. juni 2024 i sak 2023/0714 Klager: Vitec HK data AS Innklaget: Trysil kommune Klagenemndas medlemmer: Tarjei Bekkedal, Christina Paludan Melson og Wenche Sædal

Bakgrunn

(1)Trysil kommune (heretter innklagede) kunngjorde 24. april 2023 en åpen tilbudskonkurranse for anskaffelse av kontrakt om leie av disposisjonsrett for fagsystem til Pedagogisk-psykologisk tjeneste (PPT). Anskaffelsens verdi er ikke oppgitt i konkurransedokumentene, men ble opplyst til å være under 2,2 millioner kroner. Tilbudsfristen var 24. mai 2023.

(2)I kunngjøringen fremgikk det at formålet med anskaffelsen, var å dekke oppdragsgivers løpende behov for fagsystem til PPT, herunder være et «viktig arbeidsverktøy for å sikre en god og sikker saksbehandling av PPT-saker». Løsningen skulle være det «primære arbeidsverktøyet for PPT-tjenesten».

(3)Det var gitt både absolutte krav og ønskede krav i kravspesifikasjonen. I kravspesifikasjonen punkt 1.1 var det absolutt krav om at «(…) Data må være lagret i Norge». Videre var det i kravspesifikasjonen punkt 2.10 et absolutt krav om at løsningen måtte kunne «sende/motta, samhandle og dele dokumenter til skole/barnehage/barnevern/helsestasjon via SvarUt/Inn og felles digitale samhandlingsverktøy». Dernest fulgte det av kravspesifikasjonen punkt 2.11 et absolutt krav som lød slik: «Dagens løsninger bruker kommunen sin arkivløsning, samt noe fysisk arkiv. Den nye løsningen må kunne kobles til et sikkert arkiv, og arkivering må kunne skje automatisk fra fagsystem uten manuelle prosesser».

(4)Det fremgikk også av kravspesifikasjonen punkt 4.3 et absolutt krav om at «Tilbudt systemløsning skal være en sky-/webtjeneste uten behov for lokale servertjenester». Postadresse: Besøksadresse:

(5)Innen tilbudsfristens utløp hadde to leverandører levert tilbud; Visma Enterprise AS (valgte leverandør), og Vitec HK data as (heretter klager). I tilbudet til klager fremgikk det at datasentrene til klager var stasjonert ved Umeå i Sverige.

(6)I brev 15. juni 2023 ble klagers tilbud avvist fra konkurransen. Begrunnelsen var blant annet at klager hadde tilbudt en løsning hvor dataen for fagsystemet skulle lagres i Sverige, og ikke Norge. Beslutningen ble påklaget 22. juni 2023. Innklagede avviste klagen 26. juni 2023.

(7)Klager brakte saken inn for Klagenemnda for offentlige anskaffelser 19. desember 2023. I klagen ble det blant annet opplyst følgende om saken: «(…) Krav (absolutt må-krav) fra oppdragsgiver: Systemet må benytte norsk språk. Data skal lagres i Norge. Vår leveranse: Systemet er på norsk. Data lagres i Sverige.»

(8)Nemndsmøte i saken ble avholdt 3. juni 2024.

(9)Dagen etter nemndsmøtet stilte klagenemnda spørsmål til innklagede om de kunne redegjøre nærmere for hva som skulle anskaffes. Det ble stilt følgende spørsmål: «1. Var det slik at kommunens arkivløsning skulle videreføres, og at dokumenter fra blant annet skole/barnehage m.m., som inngikk i fagsystemet, automatisk og kontinuerlig skulle lagres i kommunens eget arkivsystem? 2. Skulle fagsystemet også tjene som arkivløsning? Beskriv i så fall på hvilken måte. 3. Hvordan skulle samhandlingen mellom fagsystemet og arkiv foregå?».

(10)Innklagede besvarte spørsmålene i e-post 5. juni 2023: «(…) Svar [på spørsmål 1]: Oppdragsgiver bruker i dag Visma Samhandling Arkiv for arkivering i sikker sone. Dette benyttes i dag på tvers av skole/barnehage mv., og nytt fagsystem for PPT skal integreres mot Visma Samhandling Arkiv (…). Svar [på spørsmål 2]: Nei, fagsystemet skal ikke tjene som en arkivløsning, men kontinuerlig og automatisk overføre data fra fagsystem til arkivsystem i sikker sone. Fagsystemet skal integreres mot arkivløsningen Visma Samhandling Arkiv, ref. punkter i prisskjema og kravspesifikasjon (…) Svar [på spørsmål 3]: Samhandlingen mellom arkiv og fagsystem skal foregå automatisk, uten manuelle prosesser, ref. kravspesifikasjonens punkt 2.11».

Anførsler

Klager har i det vesentlige anført

(11)Kravet om at data skal lagres i Norge er ulovlig da det virker diskriminerende for utenlandske aktører. Konkurransen skulle derfor ha vært avlyst.

Innklagede har i det vesentlige anført

(12)Kravet om at datalagringen skal skje i Norge er lovlig, da det gir en ekstra sikkerhet å ha lagringen av persondata i Norge. Alle ledd i verdikjeden for systemleveransen er da underlagt norsk reglement og rett. Systemet brukes i saksbehandling innenfor sikker sone og det er viktig at man har en trygg oppbevaring av sensitiv personinformasjon og prosesseringen av denne. Kravet er ikke diskriminerende da det er et minimumskrav til ytelsen. Det var mulig for klager å etablere datalagring i Norge for å oppfylle kravet.

(13)Videre følger det av arkivlova § 9 bokstav b en plikt til å ikke føre data ut av landet. Utførsel av data i denne sammenhengen er ikke en nødvendig del av den forvaltningsmessige eller rettslige bruken av dokumentene.

Klagenemndas vurdering

(14)Klager har deltatt i konkurransen, og har saklig klageinteresse, jf. forskrift om klagenemnd for offentlige anskaffelser § 6. Klagen er rettidig. Konkurransen gjelder anskaffelse av skytjenester for PPT. Anskaffelsens verdi er opplyst å være under 2,2 millioner kroner. I tillegg til lov om offentlige anskaffelser 17. juni 2016 nr. 73 følger anskaffelsen forskrift om offentlige anskaffelser 12. august 2016 nr. 974 del I og II, jf. forskriften §§ 5-1 og 5-3.

(15)Det tas i det følgende stilling til om innklagede har brutt anskaffelsesregelverket ved å stille et ulovlig krav i kravspesifikasjonen.

(16)Anskaffelsesforskriften § 8-5 fastsetter hvilke krav som kan stilles til ytelsen som skal anskaffes. I andre ledd går det frem at kravene «skal ha tilknytning til leveransen og stå i forhold til anskaffelsens formål og verdi». I dette ligger det blant annet at det ikke skal settes krav til ytelsen som er strengere enn det som er nødvendig for å oppnå formålet med anskaffelsen. Kravene skal med andre ord ikke medføre unødvendige begrensninger i konkurransen, i strid med formålet om effektive anskaffelser i anskaffelsesloven § 1 og prinsippet om konkurranse i lovens § 4.

(17)Kravene til ytelsen må dermed ikke utformes på en måte som virker konkurransebegrensende uten at dette kan begrunnes på en saklig og objektiv måte, se blant annet klagenemndas avgjørelser i sakene 2022/138 avsnitt 19 og 2021/1416 avsnitt 30.

(18)Det omstridte kravet er et minstekrav om at «data [til fagsystemet] skal lagres i Norge». Fagsystemet som innklagede skulle anskaffe, gjaldt Pedagogisk-Psykologisk tjeneste (PPT). I kravspesifikasjonen punkt 4.3 fremgår det at systemet skulle være en skytjeneste. Systemet skal etter det opplyste inneholde sensitive personopplysninger.

(19)Det første spørsmålet for klagenemnda er om datalagringskravet virker konkurransebegrensende.

(20)Kravet til at data skulle lagres i Norge var et absolutt krav. Samtlige leverandører måtte dermed ha etablerte, eventuelt etablere servere i Norge, for å kunne levere i henhold til konkurransegrunnlaget. Selv om utenlandske aktører kan etablere servere i Norge, bidrar kravet til å vanskeliggjøre utenlandske leverandørers deltakelse i konkurransen. Norske leverandører med infrastruktur etablert i Norge vil dermed ha et konkurransefortrinn. Kravet om datalagring i Norge virker dermed konkurransebegrensende.

(21)Spørsmålet for klagenemnda blir så om begrunnelsen for det konkurransebegrensende kravet er saklig. Innklagede har anført både sikkerhetshensyn knyttet til vern av persondata, og overholdelse av norsk rett som grunnlag for kravet.

(22)I utgangspunktet følger det av lov 15. juni 2018 nr. 38 om behandling av personopplysninger (heretter personopplysningsloven) § 1 at Norge har direkteinkorporert EØS-avtalens vedlegg XI nr. 5e (forordning (EU) 2016/679) om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (heretter personvernforordningen).

(23)Av personvernforordningen artikkel 1 følger det at så lenge man oppfyller kravene i forordningen og er etablert i en EU/EØS-stat, innebærer etableringsretten og prinsippet om fri flyt av varer og tjenester at personopplysninger i utgangspunktet skal kunne overføres til andre EU/EØS-stater. Videre følger det av artikkel 32 nr. 1 at samtlige medlemsstater må «gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen (…)». Samtlige medlemsstater er dermed forpliktet til å håndtere personopplysninger på en tilstrekkelig sikker måte.

(24)Å oppstille et krav om datalagring i Norge, som vanskeliggjør konkurransen for andre EØS-stater med presumptivt samme grad av sikkerhet som Norge, lar seg dermed ikke begrunne ved å vise til behov for vern av personvernopplysninger.

(25)Innklagede har imidlertid anført at kravet også var oppstilt for å overholde lov 12. april 1992 nr. 126 om arkiv (heretter arkivlova) § 9 bokstav b. Det var videre et ønske om at opplysningene skulle være underlagt norsk rett.

(26)Klagenemnda viser til at det gjelder et utførselsforbud mot å føre «arkivmateriale» ut av landet, såfremt dette ikke representerer en «naudsynt del» av den «forvaltningsmessige eller rettslege bruken av dokumenta», eller er unntatt på andre måter i medhold av arkivlova § 12, jf. lovens § 9 bokstav b.

(27)Arkiv er legaldefinert i arkivlova § 2. Der fremgår det at arkiv er et «dokument» som «vert til som lekk i ei verksemd». Ordet «dokument» er definert som en «logisk avgrensa informasjonsmengd som er lagra på eit medium for seinare lesing, lyding, framsyning eller overføring», jf. § 2 bokstav a og b. Den vide legaldefinisjonen av «arkiv» bidrar til å sikre at ethvert dokument som blir til i forbindelse med arbeidet som en offentlig virksomhet foretar seg, i utgangspunktet vil være underlagt arkivlovas bestemmelser.

(28)Om «arkivmateriale» skal forstås like vidt i alle sammenhenger er ikke åpenbart. I foreliggende sak skulle innklagede anskaffe en skytjeneste, som forutsetter lagring av data på fysiske servere, men som samtidig er digitalt tilgjengelige for brukerne av skytjenesten. Klagenemnda bemerker at skytjenesteteknologi ikke var utviklet da arkivlova ble vedtatt i 1992. Det foreligger dermed ikke forarbeider til loven som bidrar til å klargjøre hvordan loven skal forstås i lys av de teknologiske utviklingene som har foregått i nyere tid.

(29)Et utførselsforbud av arkivmateriale – dersom det forstås slik arkiv er legaldefinert – kan skape rettslige og praktiske utfordringer. Tatt på ordet vil et slikt forbud kunne være til hinder for utførsel, behandling og deling av nærmest et hvert dokument. En slik tolkning vil gå lenger enn det som er nødvendig for å oppfylle arkivlovas formål, som er å sikre lagring og tilgjengeliggjøring av offentlige dokument for ettertiden, jf. arkivlova § 1.

(30)I NOU 2019:9 punkt 18.2.1, som var en utredning for ny arkivlov, ble bruk av skytjenester i det offentlige vurdert. Det ble i den forbindelse uttalt at arkivlova «ikke [er] til hinder for at skytjenester kan brukes for dokumentasjon». Men, det ble likevel fremhevet at serverne som lagret dokumentasjonen, i så tilfelle måtte «ligge i Norge», for å overholde arkivlova. Dette gjør at utførselsforbudet i utgangspunktet «gjelder alle typer dokumentasjon, uansett hvor verdifull eller lite verdifull den er. De aller fleste fagsystemer inneholder dokumentasjon som skal bevares i tråd med arkivlova, og dermed treffer forbudet i arkivlova § 9 svært bredt».

(31)I høringsnotatet til nevnte forarbeid fremheves en begrensning i rekkevidden til utførselsforbudet. Det presiseres på side 147 at arkivlova § 9 bokstav b ikke blir sett på «som å vere til hinder for bruk av utanlandske skytenester for kontorstøtte, kommunikasjon og samhandling som behandler arkivmateriale, så lenge arkivmaterialet blir lagra fortløpande på ein server i Noreg». Videre uttales det at regelverket «blir heller ikkje rekna å vere til hinder for lagring av eventuelle kopiar i utlandet, så lenge det komplette arkivet er lagra i Noreg. Så lenge det komplette arkivet og sikkerhetskopi eller andre former for løysingar som skal sikre redundans, er i Noreg, har Riksarkivaren lagt til grunn at kopiar kan vere i utlandet».

(32)Det er klagenemndas syn at ovennevnte avgrensning av utførselsforbudets rekkevidde harmonerer godt med arkivlovas formål og praktiske hensyn. I tilfeller hvor det skjer en fortløpende lagring av arkivmaterialet som håndteres i skytjenesten, vil arkivet sikres og tilgjengeliggjøres for ettertiden – samtidig som man kan bruke dokumentene og behandle dem i skytjenester som har sine servere i et annet land.

(33)I foreliggende sak har innklagede utlyst konkurranse for anskaffelse av fagsystemet PPT. Dette skulle ikke være et arkivsystem, eller erstatte kommunens arkiv. Dokumentene i fagsystemet skulle fortløpende og automatisk lagres i kommunens eget arkiv. Fagsystemets behandling av dokumentene må dermed sidestilles med lovlig håndtering av digitale kopier av arkivmateriale. Utførselsforbudet får dermed ikke anvendelse.

(34)Følgelig utgjorde ikke hensynet til å overholde arkivlova § 9 bokstav b et saklig behov for å oppstille det konkurransebegrensende lagringskravet. Klagenemnda har på bakgrunn av det gjennomgåtte kommet til at kravet om at dataen til fagsystemet måtte lagres i Norge, var ulovlig. Siden dette var oppstilt som et minimumskrav i konkurransen, kan det ikke utelukkes at det ulovlige kravet har påvirket utfallet av konkurransen eller deltakerinteressen. Det forelå dermed plikt til å avlyse konkurransen, jf. blant annet HR2019-1801-A avsnitt 85 og EFTA-domstolens uttalelse i sak E-16/16 avsnitt 106.

(35)Klagers anførsler har med dette ført frem. Klagegebyret vil derfor tilbakebetales, jf. klagenemndforskriften § 13.

Konklusjon

Trysil kommune har brutt anskaffelsesregelverket ved å oppstille et krav om at dataen til fagsystemet PPT skulle lagres i Norge.

For Klagenemnda for offentlige anskaffelser, Tarjei Bekkedal