BAKGRUND:
Region Uppsala upphandlade bemanningssystem för avrop av hyrpersonal. I upphandlingen ställdes krav på viss certifiering avseende informationssäkerhet, närmare bestämt ISO 27001. Den vinnande leverantören hade inte denna certifiering, men åberopade certifieringen hos sin underleverantör för att uppfylla kravet.
En annan anbudsgivare ansökte om överprövning och anförde bland annat att det inte är tillåtet att åberopa ett annat företags kapacitet för att uppfylla krav på certifiering. Detta eftersom en certifiering är individuell.
Regionen framhöll att den vinnande leverantören inte skulle hantera någon information, utan att detta skulle uteslutande skötas av den underleverantör som var innehavare av informationssäkerhetscertifieringen. Det finns en långtgående rätt att åberopa annans kapacitet och det skulle inte vara förenligt med LOU begränsa den rätten i detta fall.
Även den vinnande leverantören fick yttra sig och anförde att underleverantören i sin helhet skulle utföra det uppdrag som upphandlingen avser.
I sitt avgörande jämförde förvaltningsrätten certifieringen med den praxis som finns gällande kvalitets- och miljöledningssystem. Krav på sådana system har ansetts utgöra kvalitetskrav – inte krav på att leverantören ska ha en viss kapacitet. Eftersom kvalitets- och miljöledningssystem har ansetts vara exklusivt bindande enbart för den juridiska person som innehar systemet kan sådana krav bara uppfyllas av den leverantör som innehar systemet. Det har därför inte ansetts vara möjligt att åberopa annans kapacitet för att uppfylla sådana krav.
Enligt förvaltningsrätten är även en certifiering exklusiv för det företag som är certifierat. Den aktuella certifieringen skulle därför bedömas på samma sätt som kvalitets- och miljöledningssystem, med följden att det inte var tillåtet att åberopa annans kapacitet för att uppfylla kravet. Det saknades enligt förvaltningsrätten betydelse att det var det certifierade företaget som skulle utföra den del av uppdraget som kräver certifiering.
KAMMARRÄTTENS BEDÖMNING:
Kammarrätten konstaterade att leverantörer har rätt att åberopa andra företags kapacitet för att uppfylla krav som avser bland annat teknisk och yrkesmässig kapacitet och att denna rätt bara får begränsas i undantagsfall.
Utan närmare motivering avfärdade kammarrätten invändningen om att kravet på certifiering för informationssäkerhet var ett kvalitetskrav. I stället bedömdes kravet vara ett krav på teknisk och yrkesmässig kapacitet, som omfattas av rätten att åberopa annans kapacitet. Det hade varken anförts att regionen skulle ha begränsat denna rätt för certifieringskravet eller på annat sätt framkommit att det rörde sig om en sådan undantagssituation där ett annat företags kapacitet inte får åberopas.
Genom att åberopa sin underleverantörs kapacitet uppfyllde den vinnande leverantören kravet på certifiering. Regionen hade inte agerat i strid med LOU genom att godta anbudet och tilldela anbudsgivaren kontraktet.
ANALYS:
Inledningsvis ska nämnas att regionen inte hade ställt kravet på certifiering för informationssäkerhet bland kvalificeringskraven, det vill säga bland kraven på anbudsgivarens kapacitet, utan i kravspecifikationen. Kammarrätten bedömde dock att kravet var ett krav på teknisk och yrkesmässig kapacitet, det vill säga ett kvalificeringskrav som omfattas av möjligheten att åberopa annans kapacitet.
Kammarrättens avgörande är ett viktigt klargörande av tidigare praxis om möjligheten att åberopa annans kvalitets- och miljöledningssystem inte gäller för certifiering för informationssäkerhet.
Det hade dock varit intressant med ett mer utförligt resonemang om kammarrättens bedömning, särskilt beaktat att förvaltningsrätten ansåg att certifieringen skulle bedömas i enlighet med tidigare praxis avseende kvalitets- och miljöledningssystem.
När kapacitet åberopas får det inte ske enbart på papper, utan de åberopade resurserna ska vara tillgängliga för och användas av anbudsgivaren under avtalstiden. I linje med detta får rätten att åberopa kapacitet i undantagsfall begränsas om det med hänsyn till upphandlingsföremålet inte är möjligt att överföra kapaciteten från det åberopade företaget till leverantören (se EU-domstolens dom i mål C‑324/14).
När det gäller vissa certifieringar/system kan det nog många gånger ifrågasättas hur kapaciteten i praktiken ska överföras till ett annat företag. I ett avgörande har kammarrätten godtagit att en anbudsgivare hänvisade till ett annat företags kvalitetssystem när anbudsgivaren, i egenskap av franchisetagare, hade åtagit sig att följa franchisegivarens system (Kammarrätten i Jönköpings dom i mål nr 1450-1452-20).
I det fallet menade anbudsgivaren dock att denne inte hade åberopat kapacitet, även om den upphandlande myndigheten tycks ha uppfattat det så. Anbudsgivaren anförde i stället att systemet var anbudsgivarens egna eftersom anbudsgivaren hade åtagit sig att följa detta.
Av den nu aktuella domen framgår inte tydligt om underleverantören ensam skulle fullgöra de delar av uppdraget där certifieringen var relevant eller om denne skulle fullgöra uppdraget i sin helhet. Vi kan dock instämma i att när en underleverantör ensam ansvarar för och utför delar av ett uppdrag där en certifiering är relevant, är det rimligt att dennes certifiering också ska kunna åberopas. Underleverantören utför då relevanta arbetsuppgifter och kapaciteten tillhandahålls därmed anbudsgivaren/leverantören.
MÅL:
Kammarrätten i Stockholm, mål nr 1534-25
TEXT: Annika Blomqvist och Mattias Knutson, Advokatfirman Cederquist
Vill du bli bättre på att projektleda upphandlingar?
Jättemärklig dom.
Att hänvisa till ett annat företag säkerhetsrutiner (vilket det i praktiken handlar om) utan att kunna visa upp att det anbudsgivande företaget har införlivat det i det egna företaget är jättemärkligt?
Tombolan rullar på.
Det är så svenskt att ingå avtal med leverantörer som har certifierat sin verksamhet med hela ISO-paletten, samtidigt som arbetet de facto utförs av icke-certifierade underleverantörer från Indien, Bangladesh och Pakistan…
Om den upphandlande myndigheten vill begränsa rätten att åberopa annans kapacitet, bör sådana föreskrifter tydligt anges i upphandlingsdokumenten (dvs. begränsningarna).
Utgången hade nog ev. kunnat bli en annan om sådana begränsningar hade funnits intagna i upphandlingsdokumenten (jfr KamR:s skäl ”Det har inte förts fram att regionen särskilt undantagit rätten att åberopa annat företags kapacitet avseende kravet.”).
Har ni som läser dessa rättsanalyser någonsin reflekterat över vad parterna faktiskt har anfört i sina yttranden? Det är knappast tillräckligt att enbart ta del av domen och den ofta summariska referattext som en notarie upprättat. För att till fullo förstå domskälen måste man inte sällan även gå tillbaka till de ursprungliga anbuden. Lika nödvändigt är att ta del av parternas skriftväxling och yttranden, eftersom det först där blir tydligt vilka rättsfrågor som faktiskt har varit föremål för prövning och vilken argumentation som lagts till grund för domstolens överväganden.
I det aktuella målet gjorde den vinnande anbudsgivaren redan i sitt anbud gällande att kravet på ISO 27001-certifiering skäligen borde avse det företag som i praktiken behandlar den data som myndigheten lämnar i bemanningssystemet. Vinnande leverantör hade utvecklat själva systemet, men detta tillhandahölls genom en serverhall. Det saknar därmed rättslig relevans att det utvecklande bolaget innehar en ISO 27001-certifiering, eftersom bolaget visserligen är leverantören men inte den aktör som faktiskt behandlar datan. Beställarens data överförs direkt från myndighetens nätverk till serverhallen. Det utvecklande bolaget hanterar därmed aldrig den aktuella datan.
Av domen kan man utläsa att klaganden sökte göra gällande att även utvecklaren måste omfattas av kravet, med hänvisning till att det utvecklande företaget i viss utsträckning ändå måste behandla datan. Först vid en genomgång av klagandens yttrande framgår att detta utgjorde deras huvudsakliga argumentationslinje. Med andra ord menade klaganden att kravet på ISO 27001-certifiering även skulle träffa det utvecklande bolaget.
Det är emellertid fullt rimligt att den vinnande leverantören, vid anbudslämnandet, resonerade kring huruvida det var underleverantören (serverhallen) som skäligen skulle uppfylla kravet, eller om det utvecklande bolaget – som aldrig behandlar datan – skulle omfattas. Kammarrätten har i sitt avgörande gjort en helt korrekt bedömning. Det är förenligt med såväl unionsrättens som nationella bestämmelser att den vinnande leverantören åberopar underleverantörens ISO 27001-certifikat, eftersom det är underleverantören, och inte den vinnande leverantören, som faktiskt behandlar datan. Domen har låg generaliserbarhet, men en viktig poäng från domen är att krav avseende ISO 27001 är ett kvalificeringskrav även när kravet förekommer bland de tekniska kraven….
I analysen står det ”När kapacitet åberopas får det inte ske enbart på papper, utan de åberopade resurserna ska vara tillgängliga för och användas av anbudsgivaren under avtalstiden”.
Det är tydligt att ”åberopade resurserna ska vara tillgängliga för …” men vilket stöd har konstaterandet ”… och användas av anbudsgivaren”?
Det borde vara så att åberopa kapacitet också ska användas av leverantören vid genomförande av uppdraget men var finns stöd för påståendet i LOU? Skulle en upphandlande myndighet ens kunna kräva det utom i vissa speciella fall?