Skip to content
  • Prenumerera på Inköpsrådets nyhetsbrev
Inköpsrådet
  • Nyheter
    • Arbetsmarknad
      • Karriär
      • Lön
    • Bransch
      • IT
      • Livsmedel
      • Samhällsbyggnad
      • Transport
      • Utbildning
      • Vård & omsorg
      • Övriga tjänster
    • Hållbarhet
      • Miljökrav
      • Sociala krav
    • Innovation
    • Juridik
      • Avtal
      • Korruption
      • Lagstiftning
      • Upphandlingsavgift
      • Överprövning
    • Praktiskt
      • Metod
      • Upphandlingsstöd
      • Utvärderingsmodell
    • Samhälle
      • EU
      • Insyn
      • Konkurrens
      • Politik
    • Upphandling
      • Dialog
      • Direktupphandling
      • Förfrågningsunderlag
      • Ramavtal
      • Uppföljning
      • Anbud
  • Karriär
    • Lediga jobb
    • Lönestatistik
    • CV-databas
    • Rekrytera smart med Inköpsrådet
  • Domstolskoll
  • Utbildning
  • Konferenser
    • Genomförda konferenser
      • Purchase to pay | 11 feb 2020
      • Praxisdagen Malmö
      • Praxisdagen Stockholm
      • Anbudsdagen
      • Hearing • Malmö • Förenklingar
      • Hearing • 18 juni • Förenklingar
  • Annonsera
    • Annonsera
    • Platsannonsera
  • Om oss
    • Vi som jobbar här
    • Integritetsspolicy

Hot och risker inför en upphandling

JuridikDEL 1. Det här är den första delen av fem i Inköpsrådets artikelserie om upphandling och informationssäkerhet. Erik Olsson och André Catry, Advokatfirman Kahn Pedersen, går igenom hur upphandlande myndigheter bör tänka och arbeta kring informationssäkerhet och upphandling.

| 2021-02-11
Erik Olsson och André Catry, Advokatfirman Kahn Pedersen.

Vi har våra anbudsöppningsmöten i Teams, är det verkligen okej?
Den frågan ställde en medarbetare vid en av våra myndighetsklienter för ett tag sedan. Efter coronapandemins utbrott sker i princip alla myndighetens möten på distans, ofta via en molnbaserad videokonferenslösning.

Frågan är hur detta rimmar med den absoluta sekretess (offentlighets- och sekretesslagen, OSL, den starkaste formen av sekretess) som råder i en upphandling för anbudsinnehåll fram till dess att tilldelningsbeslut meddelats eller upphandlingen avslutats på annat sätt.

Frågan sätter fingret på ett grundläggande problem: Det är fullt möjligt att en myndighet ställer långtgående informationssäkerhetskrav i sina upphandlingar och samtidigt genomför upphandlingen i en molnbaserad annonseringstjänst där myndigheten har begränsad insyn i hur upphandlingsdokument och anbud lagras.

Användningen av externa upphandlingsverktyg underlättar naturligtvis, och kanske är de till och med en förutsättning för upphandlande myndigheters arbete.

Men de medför också en risk. Många sådana upphandlingsverktyg innebär att upphandlaren, med angivande av e-post och ett lösenord, kan komma åt både upphandlingsdokument och inkomna anbud oavsett var hon befinner sig. I coronatider har detta naturligtvis varit ovärderligt.

Men vad innebär det för risker ur informationssäkerhetshänseende? Vilka medarbetare har tillgång till inloggningsuppgifterna? Vad är det för säkerhetsnivå på de lösenord som används? Används dessa lösenord även i andra sammanhang? Och vilka risker skulle det innebära för verksamheten om dessa inloggningsuppgifter kom på irrvägar?

Ur såväl LOU:s som OSL:s perspektiv är det helt centralt att ingen information kommer ut på annat sätt än genom de officiella kanalerna vid annonsering och i samband med tilldelning av kontrakt.

Men kan vi verkligen vara säkra på att det blir så? Har upphandlande myndigheter exempelvis rutiner för att avsluta tidigare medarbetares konton i det använda upphandlingsverktyget, eller är det möjligt för en upphandlare som börjat jobba som bid manager hos en stor leverantör att fortsätta följa de tidigare kollegornas upphandlingsarbete från ”insidan”? Hade ni märkt det i så fall?

I vår rapport Juridisk informationssäkerhet – Att samordna arbetet enligt säkerhetsskyddslagen, NIS-lagen, dataskyddsförordningen och annan lagstiftning om informationssäkerhet beskriver vi hur en verksamhet kan arbeta strukturerat för att följa den breda palett av lagstiftning som finns på informationssäkerhetsområdet.

En myndighets upphandlingsfunktion har ett stort ansvar, både vad avser kravställande, leverantörskontroll och avtalsuppföljning.

Kanske är det bästa sättet för en upphandlingsavdelning att närma sig denna uppgift att först ”testa” informationssäkerheten i den egna, avdelningsinterna verksamheten. Hur jobbar upphandling med den så kallade CIA-triaden?

Konfidentialitet (C): Att information, i synnerhet anbudsinformation, inte görs tillgänglig för andra personer, system eller processer än de som har behörighet att få tillgång till den. 

Riktighet (I): Att informationen inte får ändras, läggas till eller raderas på annat sätt än av behöriga personer enligt bestämda rutiner. 

Tillgänglighet (A): Att informationen ska vara formellt och praktiskt åtkomlig för behöriga personer, system och processer under de tidsspann och med de hastigheter/volymer som bestämts.

Vilken behörighetsstyrning och loggning har ni för vilka medarbetare som får tillgång till vilka upphandlingsdokument? Vilka personer är behöriga att hantera eventuell säkerhetsskyddad upphandling?

Om tjänsten med ert upphandlingsverktyg går ner, kommer ni då att ha tillgång till upphandlingsdokument och anbud på ett strukturerat sätt?

En upphandlingsavdelning behöver naturligtvis inte ISO-certifiera sig för att på ett trovärdigt sätt kunna arbeta med informationssäkerhet. Men innan man hjälper verksamheten att utforma informationssäkerhetskrav för upphandlingar kan det vara klokt att åtminstone ha ögnat igenom ISO 27000-serien och funderat på hur denna låter sig överföras på den egna avdelningens verksamhet.

Målet är ett strukturerat informationssäkerhetsarbete som leder till kontinuerlig förbättring.

Mycket förenklat skulle en sådan övning kunna innehålla följande frågor:

Vilken information hanteras och vad har informationen för skyddsvärde?
Förutom vid säkerhetsskyddad upphandling och när anbudsdokumenten innehåller personuppgifter kan det vara lätt att tro att en upphandlingsavdelning inte hanterar känslig information. Den slutsatsen är långt ifrån sanningen.

Upphandlarens förberedande arbete innehåller ofta information om myndighetens affärsmässiga överväganden som inte bör röjas för utomstående. Kunskap om vilket företag som ska tilldelas ett kontrakt, innan tilldelningsbeslut meddelats, kan naturligtvis vara mycket intressant för marknaden.

När det gäller stora upphandlingar och börsnoterade företag kan sådan kunskap vara kurspåverkande. På många ställen i världen anses handläggare på myndigheters upphandlingsavdelningar löpa särskilt stor risk för att utsättas för olika sorters påtryckningar, till exempel korruption och industrispionage. Det är till och med denna risk som utgör ett av de främsta skälen till att det finns en tydlig förfarandelagstiftning för offentlig upphandling.

Vilka system hanterar vår information?
Vi nämnde inledningsvis både en eventuell videokonferenslösning för anbudsöppning och själva upphandlingsverktyget, men det kan naturligtvis även finnas andra system som myndigheten använder och som kan innebära större eller mindre risk ur informationssäkerhetshänseende.

Vilka hot finns och vilka skyddsåtgärder vidtar vi för att bemöta dem?
Det kanske främsta hotet ur informationssäkerhetshänseende mot en vanlig upphandlingsverksamhet är inte risken för att något oegentligt ska hända, utan att det i efterhand inte går att bevisa att allt gått rätt och riktigt till.

Tänk på den senaste upphandlingen du genomförde. Om någon grävande journalist skulle påstå att du låtit dig påverkas till att gynna en av anbudsgivarna på ett otillbörligt sätt vid kvalitetsutvärderingen – vilken bevisning skulle du kunna presentera för att hävda motsatsen? Var du ensam vid utvärderingen? Finns det tillräcklig dokumentation upprättad? Kan du motivera dina beslut utifrån anbud och upphandlingsdokument? Kan du visa när olika dokument upprättats, ändrats och i så fall av vem?

Det enklaste sättet att få koll på hot och risker är att fundera över om det är befogat med en hot- och riskanalys inför en upphandling.

Miljö, arbetsmarknadens villkor, idéburna verksamheter och nu informationssäkerhet. Listan på saker som till syvende och sist hamnar på upphandlingsavdelningens bord kan göras lång.

Men om vi ska hjälpa verksamheten även med detta måste vi först se till att vi lever som vi lär.

Den första frågan kanske därför inte är hur myndigheten arbetar med informationssäkerhet, utan hur upphandlingsavdelningen gör det.

Erik Olsson
Advokat, Partner

André Catry
Senior Adviser

Advokatfirman Kahn Pedersen

 

Annons

Lär dig mer om säkerhetsskyddad upphandling! Upphandling24 arrangerar en populär heldagsutbildning för dig som lämnar uppdrag, använder tjänster eller annat som innebär att utomstående leverantörer får tillgång till säkerhetskänslig verksamhet och därför behöver veta när det behöver upphandlas genom säkerhetsskyddad upphandling. Läs mer här!

Läs mer: JuridikSekretess och offentlighetSäkerhetsskyddad upphandlingUpphandling

Kommentatorerna ansvarar för sina egna kommentarer

Lämna ett svar Avbryt svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *

Fler artiklar

Lediga jobb

  • Rekrytera rätt kompetens med Inköpsrådet

Åsikter på sajten

  • Säkerhetsskyddad upphandlingOtroligt intressant artikel och välbehövlig då många använder sig utav detta i upphandlingar där det varken finns krav eller risk...
  • Växlar över till ny LOVEn intressant fråga som inte diskuteras är den beroendeställning den arbetssökande har till KROM leverantören! Har det diskuterats aktivt och...
  • Växlar över till ny LOVVi har en ganska tät dialog med branschen genom leverantörsforum som sker på branschnivå med Almega kompetensföretagen, Almega utbildningsföretagen, Företagarna...
  • Nystartade företag särbehandlasJag fick en kommentar på min text som kan sammanfattas så här. Texten anger att ”Anbudsgivande företag ska ha tre...
  • ”Klokt att inte överklaga”Nu har jag bara läst domen snabbt, men det verkar som att käranden fick det fulla positiva kontraktsintresset via "realistiskt...
  • Drog igång debatt om överprövningarHåller med föregående inlägg, i Malmö får man aldrig rätt vid överprovning endast ett diffust dom för att förvirra leverantören....
  • Preklusionsfrist under anbudstidenDelar panelens bedömning. Det finns många förslag på området att minska mängden överprövningar, såsom preklusionsfrist samt att införa en nominell...
  • Preklusionsfrist under anbudstidenFörstår att advokaterna inte gillar förslaget, man sågar inte av den grenen man sitter på. Har vid några tillfällen råkat...
  • Preklusionsfrist under anbudstidenPrecis . Har råkat ut för samma argument som Per ovan. Orimliga eller krav som inte är tekniskt försvarbara ställs...
  • HFD prövar utebliven takvolymTja Östen. Att UM köper större volymer än vad som framgått är absolut ett nöjaktigt problem för antagen leverantör. Problemet...

Senaste inläggen

  • Luleå har fokus på jämställdhet
  • Säkerhetsskyddad upphandling
  • Får bättre grepp om elavtalen
  • Flexibility is the new black
  • Checklista för hållbar upphandling
  • Växlar över till ny LOV
  • Ställ krav på att bevara grönområden
  • ”Klokt att inte överklaga”
  • Ny utredning om utkontraktering
  • Skälig tid för att komma in med anbud
  • VGR svänger om karenskrav
  • Hot och risker inför en upphandling
  • Klarade mål om fler upphandlingar
  • Preklusionsfrist under anbudstiden
  • Nystartade företag särbehandlas
Bo Nordlin

Bo Nordlin, tidigare chefredaktör för Upphandling24, startade i september 2015 Inköpsrådet. Det är en ny sajt med fokus på inköp och upphandling och med större djup och mer analys.

Inköpsrådet är en sajt för kunskapsutbyte både mellan inköpare och upphandlare, men också mellan köpare och säljare.

Vill du hålla dig uppdaterad om vad som händer med Inköpsrådet, prenumerera då på vårt kostnadsfria nyhetsbrev.

Prenumerera, v2
Specialområde
Sending

Vill du veta mer? Läs då om Inköpsrådets mål och vilka vi är.

Du kan också följa oss på Twitter, Facebook och Linkedin.

Vår integritets- och personuppgiftspolicy hittar du här.

Aktuella utbildningar

Delta på distans eller på plats i Stockholm. Valet är ditt.

  • Få fart på er avtals­förvaltning | 9 mars
  • Leda upphandlingar effektivt | 15 mars
  • Upphandla funktion i praktiken | 18 mars
  • Säkerhetsskyddad upphandling | 23 mars 2021
  • Kvalificerad IT-upphandlare | 21-22 april 2021
  • Hantera överprövningar | våren 2021
  • Praktisk avtalsrätt inom LOU och LUF | 11 maj
  • Kvalificerad entreprenad­upphandlare | 20-21 oktober