Krav om interoperabilitet i IT-udbud
I hvor høj grad må man stille krav til, at nye softwareprodukter skal være kompatible med eksisterende software-løsninger? Og hvornår er det sagligt at stille krav, som de facto udelukker visse tilbudsgivere? Det har Klagenævnet for Udbud nu taget stilling til i to kendelser om indkøb af antivirus-softwarelicenser.
Klagenævnet for Udbuds kendelse af 10. maj 2023, Filial af Trend Micro Emea Limited mod Region Hovedstaden
Kort om sagen
Region Hovedstaden havde gennemført et miniudbud på grundlag af SKI's dynamiske indkøbssystem (02.06 Standardsoftware) til indkøb af 52.000 antivirus-softwarelicenser og adgang til 60.000 cloud-brugere. De tilbudte licenser skulle overholde nogle krav, der sikrede interoperabilitet med ordregiverens øvrige beskyttelsessoftware, herunder firewalls og sandkasseløsninger fra leverandøren Palo Alto Networks. Før dette udbud havde regionen afholdt et lignende udbud, som dog alene omfattede 7.000 licenser.
I miniudbuddet deltog to tilbudsgivere, som leverede løsninger fra henholdsvis Palo Alto Networks og Microsoft. Trend Micro Emea Limited ("Trend Micro") var den eksisterende leverandør, men valgte ikke at indgive et tilbud, da de ikke kunne overholde de tekniske mindstekrav om interoperabilitet. I stedet valgte Trend Micro at klage over, at kravene om interoperabilitet var i strid med principperne og ligebehandling og proportionalitet samt udbudslovens § 40, stk. 4, og § 42. Trend Micro havde også indgivet en tilsvarende klage over det forudgående udbud af 7.000 licenser.
Trend Micro mente, at Region Hovedstaden kunstigt havde indskrænket konkurrencen ved at stille krav om interoperabilitet med én leverandørs produkter. Ifølge Trend Micro var dette i strid med proportionalitetsprincippet, særligt da regionen alene havde en begrænset mængde firewall-licenser fra Palo Alto Networks (90 stk.), som relativt nemt kunne udskiftes, eventuelt med tillæg af skifteomkostninger.
Region Hovedstaden mente derimod, at et skifte ville føre til væsentlige meromkostninger, og at kravene til interoperabilitet havde til hensigt at bevare og udnytte den eksisterende infrastruktur for at sikre øget IT-sikkerhed og minimere risici.
Klagenævnet for Udbuds kendelse
Klagenævnet fastlagde indledningsvist, at det er ordregiverens valg, hvordan kontraktgenstanden skal defineres, og at man på baggrund af forarbejderne til udbudslovens § 40 også må kunne kræve interoperabilitet med eksisterende løsninger. Kravet skal blot være sagligt og ikke have til hensigt kunstigt at indskrænke konkurrencen. Men herefter endte Klagenævnet for Udbuds kendelse - ret usædvanligt - med en dissens.
Formanden - med den udslagsgivende stemme - fandt, at kravene var sagligt begrundede, da de skulle bidrage til øget IT-sikkerhed og minimere risici. Kravene gik heller ikke væsentligt længere end nødvendigt for at opnå det nødvendige sikkerhedsniveau.
Det sagkyndige medlem fandt derimod, at regionen havde tilsidesat proportionalitetsprincippet ved alene at have redegjort for kravene i generelle beskrivelser uden at konkretisere, hvorfor interoperabiliteten var nødvendig for at bevare IT-sikkerheden. Det blev tillige tillagt betydning, at indkøbet vedrørte beskyttelse af 52.000 end-points og 60.000 cloud-brugere, som alle skulle være kompatible med Palo Alto Networks produkter. Selvom der var to tilbudsgivere, der havde tilbudt software fra to forskellige producenter, fandt denne dommer det derved ikke godtgjort, at det reelt var muligt at opfylde kravene med produkter fra mere end én producent. På den baggrund havde regionen ikke løftet bevisbyrden for, at kravene var saglige og nødvendige, og medlemmet stemte derfor for at give Trend Micro medhold.
Vores bemærkninger
I praksis oplever ordregivere stor usikkerhed omkring udbudsrettens rammer ved indkøb af IT, da der typisk (hvis ikke altid) vil være et behov for en vis interoperabilitet mod ordregiverens eksisterende softwaremiljø. Denne kendelse er et eksempel på, at ordregivere indrømmes en vis fleksibilitet til at fastlægge kravene til det indkøbte, herunder også til at opstille krav, som viser sig at udelukke producenter. Det afgørende er, om konkurrencen kunstigt bliver indskrænket, eller om der er saglige grunde til indskrænkningen. Særligt synes formanden i klagesagen at have udvidet denne frihed ved at lægge vægt på, at kravene ikke gik "væsentligt" længere end nødvendigt, selvom et sådant væsentlighedskriterium ikke kan læses af udbudslovens forarbejder. I sammenlignelige situationer bør ordregiver under forberedelsesfasen sikre dokumentation eller i hvert fald en klar beskrivelse af, hvori sagligheden og behovet for interoperabilitet ligger, altså et afsnit til et "skuffenotat", som kan tages frem, hvis der bliver stillet spørgsmål til et sådan krav.
Kendelsen er også interessant ved, at den blev afsagt med dissens, hvilket man kun ser meget sjældent (også selvom det faktisk allerede er sket 2-3 gange i 2023). Dette illustrerer, hvor vanskeligt det er at bedømme, om krav til interoperabilitet er lovlige. Den dissentierende dommers udtalelse stiller betydelige dokumentationskrav til ordregivere, som vil stille krav om interoperabilitet - og dermed skærpes behovet for eksempelvis et "skuffenotat", og bevisbyrden i klagesagen her blev også øget.
Det er desuden værd at bemærke, at det sagkyndige medlem i forbindelse med den første klagesag om det oprindelige udbud på 7.000 licenser havde lagt vægt på, at det allerede dengang lå fast, at der kort tid efter ville blive indkøbt yderligere 52.000 licenser, og at det sagkyndige medlem medtog denne oplysning i den samlede proportionalitetsvurdering. Selvom formanden fandt, at også det store indkøb var proportionalt, er betragtningen en god påmindelse om, at man i proportionalitetsvurderingen ikke alene bør fokusere på det aktuelle udbud, men også må inddrage en helhedsvurdering af øvrige udefrakommende faktorer.
Endelig er det interessant, at hverken formanden eller det dissentierende sagkyndige medlem synes at forholde sig til, at regionen også henviser til "økonomiske grunde" som begrundelse for kravene, der skulle sikre interoperabilitet. Regionen gør således gældende, at en udskiftning af firewalls vil udgøre en meromkostning i forhold til anskaffelsen, men også i forhold til opdatering af regionens regler, politikker og vejledninger, ligesom regionen gør gældende, at IT-projekter er forbundet med økonomiske risici. At klagenævnet ikke synes at tillægge de økonomiske grunde betydning i den konkrete sag skyldes formentlig, at regionen i øvrigt ikke nærmere redegjorde for omfanget af meromkostninger og økonomiske risici. Som en konsekvens af udbredelsen af proprietær software på markedet vil også økonomiske grunde i praksis kunne indgå i forhold til et krav om interoperabilitet ved indkøb af IT og kan indgå som et sagligt argument i "skuffenotatet", som omtalt ovenfor.
Kontakt
