Skip to content
  • Prenumerera på Inköpsrådets nyhetsbrev
Inköpsrådet
  • Ämnen
    • EU-domstolen
    • Hyresundantaget
    • Kvalificering
    • Likabehandlingsprincipen
    • Processregler
    • Ramavtal
    • Sekretess
    • Upphandlingsskadeavgift
  • Karriär
    • Lediga jobb
    • Lönestatistik
    • Rekrytera smart med Inköpsrådet
  • Utbildning
  • Konferenser
  • Annonsera
    • Annonsera
    • Platsannonsera
  • Om oss
    • Kontakta oss
    • Integritetsspolicy

Hot och risker inför en upphandling

JuridikDEL 1. Det här är den första delen av fem i Inköpsrådets artikelserie om upphandling och informationssäkerhet. Erik Olsson och André Catry, Advokatfirman Kahn Pedersen, går igenom hur upphandlande myndigheter bör tänka och arbeta kring informationssäkerhet och upphandling.

| 2021-02-11
Erik Olsson och André Catry, Advokatfirman Kahn Pedersen.

Vi har våra anbudsöppningsmöten i Teams, är det verkligen okej?
Den frågan ställde en medarbetare vid en av våra myndighetsklienter för ett tag sedan. Efter coronapandemins utbrott sker i princip alla myndighetens möten på distans, ofta via en molnbaserad videokonferenslösning.

Frågan är hur detta rimmar med den absoluta sekretess (offentlighets- och sekretesslagen, OSL, den starkaste formen av sekretess) som råder i en upphandling för anbudsinnehåll fram till dess att tilldelningsbeslut meddelats eller upphandlingen avslutats på annat sätt.

Frågan sätter fingret på ett grundläggande problem: Det är fullt möjligt att en myndighet ställer långtgående informationssäkerhetskrav i sina upphandlingar och samtidigt genomför upphandlingen i en molnbaserad annonseringstjänst där myndigheten har begränsad insyn i hur upphandlingsdokument och anbud lagras.

Användningen av externa upphandlingsverktyg underlättar naturligtvis, och kanske är de till och med en förutsättning för upphandlande myndigheters arbete.

Men de medför också en risk. Många sådana upphandlingsverktyg innebär att upphandlaren, med angivande av e-post och ett lösenord, kan komma åt både upphandlingsdokument och inkomna anbud oavsett var hon befinner sig. I coronatider har detta naturligtvis varit ovärderligt.

Men vad innebär det för risker ur informationssäkerhetshänseende? Vilka medarbetare har tillgång till inloggningsuppgifterna? Vad är det för säkerhetsnivå på de lösenord som används? Används dessa lösenord även i andra sammanhang? Och vilka risker skulle det innebära för verksamheten om dessa inloggningsuppgifter kom på irrvägar?

Ur såväl LOU:s som OSL:s perspektiv är det helt centralt att ingen information kommer ut på annat sätt än genom de officiella kanalerna vid annonsering och i samband med tilldelning av kontrakt.

Men kan vi verkligen vara säkra på att det blir så? Har upphandlande myndigheter exempelvis rutiner för att avsluta tidigare medarbetares konton i det använda upphandlingsverktyget, eller är det möjligt för en upphandlare som börjat jobba som bid manager hos en stor leverantör att fortsätta följa de tidigare kollegornas upphandlingsarbete från ”insidan”? Hade ni märkt det i så fall?

I vår rapport Juridisk informationssäkerhet – Att samordna arbetet enligt säkerhetsskyddslagen, NIS-lagen, dataskyddsförordningen och annan lagstiftning om informationssäkerhet beskriver vi hur en verksamhet kan arbeta strukturerat för att följa den breda palett av lagstiftning som finns på informationssäkerhetsområdet.

En myndighets upphandlingsfunktion har ett stort ansvar, både vad avser kravställande, leverantörskontroll och avtalsuppföljning.

Kanske är det bästa sättet för en upphandlingsavdelning att närma sig denna uppgift att först ”testa” informationssäkerheten i den egna, avdelningsinterna verksamheten. Hur jobbar upphandling med den så kallade CIA-triaden?

Konfidentialitet (C): Att information, i synnerhet anbudsinformation, inte görs tillgänglig för andra personer, system eller processer än de som har behörighet att få tillgång till den. 

Riktighet (I): Att informationen inte får ändras, läggas till eller raderas på annat sätt än av behöriga personer enligt bestämda rutiner. 

Tillgänglighet (A): Att informationen ska vara formellt och praktiskt åtkomlig för behöriga personer, system och processer under de tidsspann och med de hastigheter/volymer som bestämts.

Vilken behörighetsstyrning och loggning har ni för vilka medarbetare som får tillgång till vilka upphandlingsdokument? Vilka personer är behöriga att hantera eventuell säkerhetsskyddad upphandling?

Om tjänsten med ert upphandlingsverktyg går ner, kommer ni då att ha tillgång till upphandlingsdokument och anbud på ett strukturerat sätt?

En upphandlingsavdelning behöver naturligtvis inte ISO-certifiera sig för att på ett trovärdigt sätt kunna arbeta med informationssäkerhet. Men innan man hjälper verksamheten att utforma informationssäkerhetskrav för upphandlingar kan det vara klokt att åtminstone ha ögnat igenom ISO 27000-serien och funderat på hur denna låter sig överföras på den egna avdelningens verksamhet.

Målet är ett strukturerat informationssäkerhetsarbete som leder till kontinuerlig förbättring.

Mycket förenklat skulle en sådan övning kunna innehålla följande frågor:

Vilken information hanteras och vad har informationen för skyddsvärde?
Förutom vid säkerhetsskyddad upphandling och när anbudsdokumenten innehåller personuppgifter kan det vara lätt att tro att en upphandlingsavdelning inte hanterar känslig information. Den slutsatsen är långt ifrån sanningen.

Upphandlarens förberedande arbete innehåller ofta information om myndighetens affärsmässiga överväganden som inte bör röjas för utomstående. Kunskap om vilket företag som ska tilldelas ett kontrakt, innan tilldelningsbeslut meddelats, kan naturligtvis vara mycket intressant för marknaden.

När det gäller stora upphandlingar och börsnoterade företag kan sådan kunskap vara kurspåverkande. På många ställen i världen anses handläggare på myndigheters upphandlingsavdelningar löpa särskilt stor risk för att utsättas för olika sorters påtryckningar, till exempel korruption och industrispionage. Det är till och med denna risk som utgör ett av de främsta skälen till att det finns en tydlig förfarandelagstiftning för offentlig upphandling.

Vilka system hanterar vår information?
Vi nämnde inledningsvis både en eventuell videokonferenslösning för anbudsöppning och själva upphandlingsverktyget, men det kan naturligtvis även finnas andra system som myndigheten använder och som kan innebära större eller mindre risk ur informationssäkerhetshänseende.

Vilka hot finns och vilka skyddsåtgärder vidtar vi för att bemöta dem?
Det kanske främsta hotet ur informationssäkerhetshänseende mot en vanlig upphandlingsverksamhet är inte risken för att något oegentligt ska hända, utan att det i efterhand inte går att bevisa att allt gått rätt och riktigt till.

Tänk på den senaste upphandlingen du genomförde. Om någon grävande journalist skulle påstå att du låtit dig påverkas till att gynna en av anbudsgivarna på ett otillbörligt sätt vid kvalitetsutvärderingen – vilken bevisning skulle du kunna presentera för att hävda motsatsen? Var du ensam vid utvärderingen? Finns det tillräcklig dokumentation upprättad? Kan du motivera dina beslut utifrån anbud och upphandlingsdokument? Kan du visa när olika dokument upprättats, ändrats och i så fall av vem?

Det enklaste sättet att få koll på hot och risker är att fundera över om det är befogat med en hot- och riskanalys inför en upphandling.

Miljö, arbetsmarknadens villkor, idéburna verksamheter och nu informationssäkerhet. Listan på saker som till syvende och sist hamnar på upphandlingsavdelningens bord kan göras lång.

Men om vi ska hjälpa verksamheten även med detta måste vi först se till att vi lever som vi lär.

Den första frågan kanske därför inte är hur myndigheten arbetar med informationssäkerhet, utan hur upphandlingsavdelningen gör det.

Erik Olsson
Advokat, Partner

André Catry
Senior Adviser

Advokatfirman Kahn Pedersen

 

Annons

Lär dig mer om säkerhetsskyddad upphandling! Upphandling24 arrangerar en populär heldagsutbildning med Viktor Robertson för dig som lämnar uppdrag, använder tjänster eller annat som innebär att utomstående leverantörer får tillgång till säkerhetskänslig verksamhet och därför behöver veta när det behöver upphandlas genom säkerhetsskyddad upphandling. Läs mer här!

Läs mer: JuridikSekretess och offentlighetSäkerhetsskyddad upphandlingUpphandling

Kommentatorerna ansvarar för sina egna kommentarer

Lämna ett svar Avbryt svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *

Fler artiklar

Lediga jobb

Strategisk Entreprenad­upphandlare/­kategori­ledare till Stockholm Vatten och Avfall

  • Avtalscontroller till Sektionen för inköp och upphandling
  • Rekrytera rätt kompetens med Inköpsrådet
ANNONS FRÅN UPPHANDLING24

Pernilla Norman

Kursen gör SUA begripligt

Anna David, upphandlare vid Jönköping Energi, rekommenderar alla som upphandlar något skyddsvärt att gå utbildningen Säkerhetsskyddad upphandling:
– Kursen är jättebra, pedagogisk, lätt att förstå och följa, säger Anna David.

Ogiltigt, oacceptabelt, olämpligt – en orimlig (o)ordning?Ogiltigt, oacceptabelt, olämpligt – en orimlig (o)ordning?
Advokatbyråns 15 förbättringsförslagAdvokatbyråns 15 förbättringsförslag
Oklara omständigheter för preklusionsreglerOklara omständigheter för preklusionsregler
Upphandlingsrättsliga föreningen firade 15 årUpphandlingsrättsliga föreningen firade 15 år
Annika är upphandlingsjuristen som inte ville bli juristAnnika är upphandlingsjuristen som inte ville bli jurist
Allvarligt fel när vd begått brottAllvarligt fel när vd begått brott
Fel att förkasta anbud som onormalt lågtFel att förkasta anbud som onormalt lågt
Subjektiv objektivitetSubjektiv objektivitet

Nytt från Upphandling24

  • Uppsala får rätt mot ”fyra stora”
  • Slottner: Ökad konkurrens och minskat krångel
  • Malin efter Olof
  • Kontrolltjänst med förhinder
  • Riksdagsenighet om IPI
  • Utlovar enklare annonsering
  • Nya perspektiv från syd

Kommentarer från läsarna

Björn : Oklara omständigheter för preklusionsregler
Jag saknar grundläggande information i fallet. Det verkar uppenbart att domstolen inte iaktog kontexten så jag anser är av avgörande…
Björn : Fel att förkasta anbud som onormalt lågt
Den som följer diskussioner om onormalt låga priser måste slås av myndigheternas och rättsväsendets total oförmåga att tackla relativt enkla…
Frans : Oklara omständigheter för preklusionsregler
Intressant! "Skäl till varför en omständighet ska få åberopas utgör knappast i sig en omständighet till stöd för en talan…
Eva : Subjektiv objektivitet
Förbittrad som leverantör blir man, när det hänvisas till ospecifiecad "kvalitet" Hur skall man som leverantör veta vad som kan…
Nils Larsson : Subjektiv objektivitet
Jag håller med, det är inte bra när utvärderingar ser godtyckliga ut, oavsett om de är det eller inte. Bortsett…
Johan : Ok med förhandlat oannonserat förfarande
Lagstiftaren har gjort det väldigt krångligt för alla inblandade genom att skilja på anbud som är: 1. ogiltiga 2. olämpliga…
En annan Björn : Fel datum – skäl för ingripande och rättelse
"Oaktat detta anser vi att den här typen av domar är betydelsefulla för övergripande diskussioner och debatt." Jag håller med!…
Håkan : Fel datum – skäl för ingripande och rättelse
2010? Skulle kunna tolkas som år 2010? Lite äldre än 3 år då..
David Sundgren : Fel datum – skäl för ingripande och rättelse
Jag anser nog att "datum" betyder att en viss dag ska kunna identifieras. "Oktober 2020" är således inget datum. Det…
Björn : Fel datum – skäl för ingripande och rättelse
Är det någon annan som undrar vem som bestämde att ett datum betyder "YYYYMMDD"? Jag anser att exempelvis "17 februari"…

Senaste inläggen

  • Ogiltigt, oacceptabelt, olämpligt – en orimlig (o)ordning?
  • Advokatbyråns 15 förbättringsförslag
  • Oklara omständigheter för preklusionsregler
  • Upphandlingsrättsliga föreningen firade 15 år
  • Annika är upphandlingsjuristen som inte ville bli jurist
  • Allvarligt fel när vd begått brott
  • Fel att förkasta anbud som onormalt lågt
  • Subjektiv objektivitet
  • Ok med förhandlat oannonserat förfarande
  • Leverantörer från tredjeland kan uteslutas
  • Hur bevisas yrkesmässig kapacitet?
  • Inte ok med koncernbolag i samma upphandling
  • Fel datum – skäl för ingripande och rättelse
  • Tilldelningsbeslut = slutbehandlat ärende
  • Tydligare gränser för hyresundantaget

Aktuella utbildningar

Delta på distans eller på plats i Stockholm. Valet är ditt.

  • Robusta IT-avtal | 28 april
  • Hållbar upphandling | 29 april
  • LOU på två dagar | 6-7 maj
  • Entreprenadupphandling och AMA AF | 8 maj
  • Säkerhetsskyddad upphandling | 14 maj
  • Kvalificerad IT-upphandlare – Steg 2 praktisk tillämpning | Hösten 2025
  • Praktisk avtalsrätt inom LOU och LUF | Hösten 2025
  • Anbudsutvärdering | Hösten 2025
  • Kvalificerad entreprenad­upphandlare | Hösten 2025
  • Leda upphandlingar effektivt | Hösten 2025
  • Få fart på er avtals­förvaltning | Hösten 2025
  • Kvalificerad IT-upphandlare | Hösten 2025
  • Ramavtal – fördjupningskurs | Hösten 2025