FÖRVALTNINGSRÄTTEN I STOCKHOLM
Avdelning 32
SÖKANDE
DOM Målm 2016-12-27 9341-16
Sida 1 (28)
Dustin Sverige AB, 556666-1012 Box 1194
131 27 Nacka strand
--
Meddelad i Stockholm
KONKURRENSVERKET
Ombud: Advokaterna Carl Bokwall och Sofia Bergmark Hertz , KSnr Bokwall-Rislund Advokatbyrå KB
Funckens gränd 1
111 27 Stockholm
MOTPART
Statens inköpscentral vid Kammarkollegiet Box2218
103 15 Stockholm
SAKEN
Överpröv.1ring enligt lagen om offentlig upphandling
FÖRVALNINGSRÅTTENS AVGÖRANDE
Förvaltningsrätten avslår Dustin Sverige AB:s ansökan om ingripande enligt lagen om offentlig upphandling.
Förvaltningsrätten avslår Statens inköpscentral vid Kammarkollegiets yrkande om att förvaltningsrätten ska besluta att någon tiodagarsfrist enligt 16 kap. 10 § lagen om offentlig upphandling inte ska gälla,
_,_
I -- ---
--------[
 Avd
Onr
Aktbil
1"f110 ._�?-
27
I
......
(,,1l\:J
LL
       Dok.Id 776079
Postadress
115 76 Stockholm
Besöksadress
Tegeluddsvägen 1
Tele(on Telefa:x
08-561 680 00 08•561 680 01 E-post: forvaltningsrattenistockholm@dom.se www.domstol.se/forvaltningsratt
E�peditionstid måndag-fredag 08:00-16:30
   
 Sida2 FÖRVALTNINGSRÄTTEN DOM 9341-16
I STOCKHOLM BAKGRUND
Statens inköpscentral vid Kammarkollegiet (Statens inköpscentral) genomför fyra upphandlingar av ramavtal avseende datacenter: Datacenter Rikstäckande (dnr 96-89-2015), Datacenter Norra Sverige (dnr 96-86-2015), Datacenter Östra Sverige (dnt 96-87-2015) och Datacenter Södra Sverige (dnr 96-88-2015). Upphandlingarna omfattarhårdvara, programvara, molntjänst och kundunik tjänsteleverans med tillhörande konsulttjänster för datacenter. Avropsberättigade är myndigheter under regeringen samt myndigheter under riksdagen, andra offentligt styrda organ, kommuner och landsting som har lämnat bekräftelse på att vara avropsberättigad. Avrop från ramavtalet kommer att ske genom förnyad konkurrensutsättning. Statliga myndigheter som endast bedriver verksamhet i Norra Sverige, Östra Sverige eller Södra Sverige förväntas avropa från tillämpligt regionalt ramavtaL Statliga myndigheter med verksamhet i två .eller tre av de regionala ramavtalen fötväntas använda Datacenter Rik.stäckande.
Upphandlingarna genomförs som ett öppet förfarancle enligt lagen (2007:1091) om offentlig upphandling (LOU) och tilldelningsgrunden är det ekonomiskt mest fördelaktiga anbudet. Sex ramavtalsleverantörer kommer att antas per upphandling under förutsättning att så många anbud uppfyller ställda krav. I tilldelningsbeslut för respektive upphandling, daterade den 26 april 2016, anges att Dustin Sverige AB (Dustin) inte uppfyller kvalificeringskrav 3.2.7.2 och 3.2.9.1. Det anges vidare ätt vad gäller krav 3.2.7.2 kunde svaret inte styrkas av angiven kund eftersom delar av leveransen var utförd av annat bolag än anbudsgivarens angivna underleverantör och att vad gäller ktav 3.2.9.1 framgår varken punkt 2 eller 3 av bifogad handling, Ramavtal i upphandlingarna har tilldelats sex andra anbudsgivare än Dustin.
  
 r ,-- I ; - -- I FÖRVALTNINGSRÄTTEN DOM 9341-16
I STOCKHOLM·
YRKANDEN M.M.
Dustin yrkar i första hand att upphandlingarna ska rättas på så vis att utvärderingarna görs om med beaktande av Dustins anbud och i andra hand att upphandlingarna ska göras om. Statens inköpscentrals tillämpning av de relevanta kraven och Statens inköpscentrals åtgärder och beslut i upphandlingarna avseende Dustins anbud är inte förenliga med transparensprincipen, likabehandlingsprincipen och proportionalitetsprincipen i 1 kap. 9 § LOU. Statens inköpscentral har·i strid med likabehandlingsptincipen tillämpat samma krav olika i förhållande till anbudsgivama och gett vissa, men inte andra anbudsgivare möjlighet att förtydliga sina anbud i olika delar. Upphandlingsfelen har medfört skada, eller risk för skada, för Dustin som utan upphandlingsfelen hade kunnat
erhålla ramavtal i upphandlingarna.
Statens inköpscentral bestrider bifall till ansökan och yrkar för egen del att. förvaltnh).gsrätten avgör sakfrågan slutligt och fattar beslut om att upphandlingarna får avslutas i enlighet med tilldelningsbesluten daterade den 26 april 2016. Dustin har inte uppfyllt samtliga obligatoriska krav i
upphandlingarna och har rätteligen inte gått vidare till utvärdering. Statens inköpscentral har genomfört upphandlingarna enligt bestämmelsema i LOU och i övrigt ageratkorrekt i enlighet med de unionsrättsliga grundläggande principerna. Det saknas således grund för ingripande enligt LOU.
Sida 3
    
 I! -I
I ,---
I '
FÖRVALTNINGSRÄTTEN DOM I STOCKHOLM
SKÄLEN FÖR AVGÖRANDET
Punkt 3.2.7.2 i förfrågningsunderlaget
Vad Dustin har anfört
Dustin hat vad gäller kravet i punkt 3.2.7.2 på att redovisa en tidigare utförd leverans av en kmnplett lagringslösning installerad i kunds egen it-llliljö åberopat ett uppdrag som dess underleverantör EMC har utfört åt Region. Skåne. EMC var huvudansvarig för att genomföra en komplett uppgradering, d.v.s. totalt utbyte, av Region Skånes lagrings- och arkiveringslösning. EMC svarade för installation, konfigurering, testning och projektledning för projektet som äveninnefattade integration av lagrings- och arkiveringslösningen och programvaran för säkerhetskopiering IBM Tivoli Storage Management (Tivoli). Arbetet omfattade ominstallation och konfiguration av denna programvara i la:gringslösningeri. Region Skånes
leveransgodkännande av lagringslösningen förutsatte att den integrerats, testats och fungerade i sin helhet med programvaran föt säkerhetskopiering Tivoli. Dustin har gett inintyg i vilka detta bekräftas av kontaktpersonen på Region Skåne och EMC:s projektledare.
I tilldelningsbeslutet har Statens inköpscentral angett att kravet inte var uppfylltpå grund av att "svaret inte kunde styrkas av at1given kund eftersom delar av leveransen var utförd av annat bolag än anbudsgivarens angivna underleverantör". Statens inköpscentrals enda stöd för att Dustins anbud inte skulle uppfylla kravet utgörs av ett enda kort samtal mellan ansvarig upphandlare och kontaktpersonen på Region Skåne och dennes korta bekräftelse av påståendet ''Programvaran från IBM är levererad av Tieto''. Utöver dessa personers korta e�postväxling saknas helt dokumentation av vad som framkom vid telefonkontakten. Statens inköpscentral har i
Sida 4 9341-16

 ------ I
: --� --- - ------- I -- I --
! I ------- I
FÖRVALTNINGSRÄTTEN I STOCKHOLM
DOM
Sida5 9341-16
e-postmeddelande till Dustin angett att Dustins referensuppdrag inte godkänts på grund av att '1Er underleverantör; EMC, har inte levererat en komplett lagringslösning d_å progr�vara för säkerhetsk:opiering inte ingick i leveransen från EMC till kund." Detta är dock något helt annat än vad kontaktpersonen på Region Skåne har svarat på. Kontaktpersonen har inte bekräftat att EMC inte skulle ha levererat en komplett lagringslösning på
grundavattTivoli''levererats''avnågonannan.DettaärStatens inköpscenttals egen slutsats. Som framgår av det intyg Dustin har gett in i målet har kontaktpersonen på frågan om det i EMC:s leverans ingått integrering, konfiguration och testning av programvara för hantering av säkerhetskopiering (d.v.s. det som leravställts) svaratja. Statens inköpscentrals kontakt med Region Skåne styrker därför inte någonting annat än att det ät någon annan än EMC som har tillhandahållit det fysiska exemplaret av programvaran Tivoli. Detta är dock helt ovidkom1nande för uppfyllelse av laavet. Statens inköpscentral salmar därmed obj ektivt stöd för sin uppfattning att det inte skulle ha ingått programvara för hantering av säkerhetskopiering i EMG:s leveransprojekt av komplett lagringslösning till Region Skåne. Det ankommer på Statens inköpscentral att visa att svaret
från kontaktpersonen på Region Skåne innebär att Dustins anbudssvar inte uppfyller kravet i punkt 3 .2.7.2 Gfr Kammarrätten i Göteborgs dom i mål 6249-1 4).
Förhållandet att programvaran för säkerhetskopiering fanns i Region Skånes it-miljö betyder inte att installation, konfigurering o.s.v., d.v.s. all rdevant hantering av programvaran, inte ingått i EMG:s uppdrag avseende en ny lagringslösning på det sätt som Dustin redogjort för. Begreppet "ingått i leveransen'2 kan ha en mängd olika betydelser. Kravet anger inte på vilket sätt ptogramvarart "ska ha ingått" eller vad som avses med ''leverans". Det framgår inte av kravets lydelse eller dess syfte att anbudsgivaren ska visa p å sinerfarenhetattmotersättningupplåtaprogramvarulicenser,tabetalatför exemplar av programvaran eller att i fysisk bemärkelse kunna ''leverera"

 Sida 6 FÖRVALTNINGSRÄTTEN DOM 9341-16
I STOCKHOLM
programvara på ett lämpligt medium. Tvärtom omfattar kravets lydelse det uppdrag och ansvar som EMC har haft gentemot Region Skåne, d.v.s. EMC:s avtalsansvar har ömfattat projektledning, inst11lhttion, integrering, konfiguration och test av Tivoli i den levererade lagringslösningen. . Förhållandet att någon annan ursprungligen har sålt ett exemplar av programvaran Tivoli till Region Skåne utesluter inte att EMC haft ett ansvar för programvaran och att den ingått på det sätt som Dustin redogjort för i den leverans som EMC gjort avseende en komplett lagringslösning. Den tolkningen ijt dessutom merilinje med kravets syfte, d.v.s, att verifiera anbudsgivarnas yrkeskunnande och kompetens avseende uppdrag som
omfattar installation, konfigurering, test och projektledning av kompletta lagringslösningw.Kravetsni.briceringhänvisaruttryckligentill11kap.13 § LOU som avser leverantörens yrkeskunnande. Syftet med denna bestämmelse är att tillåta den upphandlande myndigheten att flytta fokus i leverantörsprövningen från själva varuleveransen till moment som installation och konfiguration.
Det är inte tillåtet att utesluta anbudsgivare baserat på krav som inte är tydliga. Det strider därmedmottransparensprincipen och
likabehandlingsprincipen att tillämpa kravet i punkt 3.2.7.2 på det sätt Statens inköpscentral gjort i förhållande till Dustins anbud. Kammarrätten i Sundsvall uttalade i dom i mål 2493-15 att den upphandlande myndigheten h,a.t 1':visst tolkningsföreträde" men att detta :tnåste "tillämp�s inöm.ramen för uoionsrättens principer, särskilt transparensprincipen''. Upphandland e myndigheter har inte ett generellt tolkningsföreträde vid otydliga formuleringar i förfrågningsunderlag. Rymmer ett krav flera betydelser kan inte den upphandlande myndighetens tolkning ges foreträde, utan då får myndigheten stå ansvatet för att formukringen inte var så snäv eller precis som rnyndigheten måhtinda avsett.
[I
    
 Sida 7
FÖRVALTNINGSRÄTTEN DOM 9341-16 I STOCKHOLM
Ont kravet skulle anses innefatta tillhandahållande av ett fysiskt exemplar av programvaran, betalning för detta eller tjänstedrift av programvaran efter leveransgodkännande av installationsprojektet vill Dustin framhålla följande. De i så fall förekommande avvikelserna i Dustins referensuppdrag saknar helt betydelse i förhållande till syftet med kravet, d.v.s. att konstatera anbudsgivarens yrkeskunnande och kompetens avseende uppdrag som omfattar installation, konfigurering, test och projektledning av kompletta lagri:ngslösningar. Avvikelserna står inte i proportion till en uteslutning från fyra ramavtalsupphandlingar värda ca fyra miljarder kr. Statens inköpscentral har därför saknat grund för att lägga vikt vid att det inte är EMC som i fysisk bemärkelse ''levererat'' programvaran Tivoli, uppburit licensavgifter eller ersättning för det fysiska exemplaret av programvaran eller, efter leveransgodkännande av lagringslösningen, tillhandahållit en
tj änst för drift och underhåll av Tivoli eller någon annan hårdvara eller programvara i lagringslösningen. Om Dustin hade vetat att Statens inköpscentral skulle lägga sådan avgörande vikt vid den fysiska "leverans�n" eller att drifttjänst av programvara efter leveransgodkännande skuile ingå, hade Dustin naturligtvis valt att åberopa ett annat referensuppdrag.
Det anges inte i punkt 3.2.1.1 på villca premisser Statens inköpscentral eventuellt tar kontakt med referenskunder, d.v.s. om det är fråga om stickprovskontroller, på förekommen misstanke om oriktiga anbudssvar eller en kombination härav; Grundat på förfrågningsunderlaget kan Statens inköpscentral därför godtyckligt välja om man ska vidta kontroller, vilket anbud man särskilt ska granska och i vilket avseende. Kontrollåtgärder måste ske i ·enlighet med LOU:s ktav på öppenhet, tydlighet, likabehandling och proportionalitet. Statens inköpscentral har inte upprätthållit dessa principer när man bestämde sig för att kontrollera Dustins referensuppdrag. I punkt 3 .2.7.1 i förfrågningsunderlaget anges att kontakter med anbudsg�varens referenskund kan ske i syfte att "verifi�ra anbudsgivareils

FÖRVALTNINGSRÄTTEN I STOCKHOLM
DOM
Sida 8 9341-16
.I
 svar". Ingenting i Du.stins anbudssvar ger anledning att ifrågasätta dess riktighet. Statens inköpscentral har inte heller bett RegionSkåne att verifiera vad Dustin angett, utan använt kontakten föratt få bekräftelse på påståenden om omständigheter som är ovidkommande givet lcravets lydelse öch syfte. Statens inköpscentral har dessutom inte vidtagit några kontrollåtgärder avseende andra anbud med motsvarande anbudssvar. som Dustins. Statens inköpscentral har t.ex·. godkänt clet referensuppdrag Atea Sverige AB (Atea) har redogjort för under punkt 3 .2.7.2 där det, liksom i Dustins anbudssvar, framgår att Tivoli ingått i .Ateas åberopade leveransprojekt och att Atea/underleverantörema installerat, konfigurerat och driftsatt lagringsmiljön. Det anges dock inte i anbudssvaret vilket företag som
levererat programvaran Tivoli. Oavsett vilken betydelse man lägger i ordet levererat är det inte förenligt med likabehandlingsprincipen att behandla lika situationer olika på detta sätt.
Statens inköpscentral har låtit en.mängd anbudsgivare fö1tydliga sina anbud både vad gäller tvingande minimikrav och utvärderingskriterier. Oaktat att Dustin menar att det inte föreligger någon motstridighet mellan Dustins anbudssvar i punkt 3 .2.7.2 och uppgifter från referenskunden har uppenbarligen Statens inköpscentral ansett detta. Statens inköpscentral skulle därför ha gett Dustin möj ligheten att klargöra vad som ingått i det aktuella referensuppdraget eftersom andra anbudsgivare har getts möjlighet att klargöra sina anbudssvar vad gäller ska-krav. En begäran om förtydligande - eller kontrollåtgärder med referenskunder - måste enligt EU-domstolens dom i mål C�599/10 SAG ELV Slovensko m.fl. vidtas gentemot samtliga anbudsgivare i samma situation. Åtgärden ska vara tydligt formulerad.och i övdgt tydligt genomförd så att missförstånd
minimeras. En begäran om förtydligande ska dessutom omfatta samtliga punkte1: som är oklara eller som inte uppfyller kraven och ett 1:Utbud får inte förkastas på grund av en oklarh_et som inte omfattas av begäran. "Samma situation'' är inte begränsat till att anbudsgivare ska ha oklarheter avseende

 I!-Irr FÖRVALTNINGSRÄTTEN DOM 934 1 - 1 6
I STOCKHOLM
samma krav. Det saknar därmed betydelse för bedömningen att Statens inköpscentral inte bett andra anbudsgivare attförtydligajustpunkt 3.2.7.2. Om.en anbudsgivare har fått möjlighet att förtydliga sitt anbud i syfte att utreda om det uppfyller ett tvingande minimikrav nat Statens inköpscentral alltså varit skyldig enligt likabehandlingsprincipen att ge samtliga andra anbudsgivare motsvarande möjlighet att klargöra eventuella oldarheter i sina respektive anbud.
Vad Stqtens inköpscenp-c,J hrir anfört
Av punkt 3 .2.7. 1 i förfrågningsunderlaget framgåJ.• att anbudsgivaren ska redovisa tre· tidigare leveranser för att styrka anbudsgivarens yrkeskunnande inom 1) komplett lagringslösning, 2) lokalt nätverk respektive 3) molntjänst. Anbudsgivaren eller åberopad underleverantör ska ha varit ansvarig för angiven leverans och det ska finnas eller ha funnits en avtalsrelation med kund. Det framgår i punkt 3.2.7;2 - 3.2,7.4 vilka produkter ochtjänster som ska ha ingått i respektive leverans och vilka uppgifter avseende utförd leverans som ska redovisas i anbudet. I punkt 3.2.7.1 anges också att Statens inköpscentral kan komma att verifiera anbudsgivarens svar med den kund som angetts. Av punkt 3.2.7.2 framgår att anbudsgivaren ska redovisa en utförd leverans av en komplett lagringslösning installerad i kunds egen it­ miljö. Programvara för att hantera och övervaka lagringslösning ska ha ingått liksom programvara till servrar för att kommunicera meci lagringslösning och för att hantera säkerhetskopiering. Dustin har för uppfyllande av det aktuella kravet redovisat en lagringslösning so:m levererats till Region Skåne av underleverantören EMC. Anbudsgivaren skulle i anbuqet ange den hårdvara som levererats med uppgifter om
· hårdvaruleverantör och modellbetecknlng samt den programvara som levererats med uppgifter om licensgivare och programvamnamn. Med ett undantag är EMC själv tillverkare och lev(lrantör av samtlig redovisad hårdvara. Eftersom det i den förstudie som ligger till grund för
Sida 9

I: ----! l---- ------------------I -I I !
 FÖRVALTNINGSRÄTTEN DOM I STOCKHOLM
upphandlingarna har framkommit att tillverkare av servrar QCh lagring sällan säljer hårdvara direkt till slutkund utan istället säljer via systemintegratörer valde Statens inköpsi;:entral att kontakta referenskundens koutE!k.tperson för att säkerställa att den leverans som redovisats omfattat en komplett lagringslösning i enlighet med kravet; att åberopad underleverantör ansvarat för leveransen i alla delar och att underleverantören också har eller har haft
en avtalsrelation med kunden.
Referenskundens kontf!.ktperson kunde bekräfta att EMC såväl tillverkat somlevererataktuell hårdvara. På direkt fråga från Statens inköpscentral uppgav kontaktpersonen dock att en annan leverantör än EMC haft ansvar för leveransen av programvaran för säkerhetskopiering. Programvaran för säkerhetskopiering levererades av Tieto Sweden AB. Eftersom Statens inköpscentral därmed inle vid anbudsprövningen kunnat säkerställa att EMC:s ansvar för leveransen_även omfattat hantering av programvara för säkerhetskopiering har kravet på komplett lagringslösning inte uppf)'.Uts av Dustin. Dustins redovisade leverans har därmed inte uppfyllt de obligatoriska kraven i punkt 3.2.7.2.
Det ankommer på den upphandlande myndigheten att kontrollera en uppgift i ett anbud om det finns omständigheter i det enskilda fallet som ger anledning att ifrågasätta om uppgiften i anbudet är riktig. Att inte säkerställ a att ett anbud uppfyller ställda obligatoriska krav, trots misstanke om motsatsen, skulle s_annolikt anses s_trida mot likabehandlingsprincipen. Den kontakt Statens inköpscentral tog med referenskunden var sllledes ett led i anbudsprövningen och syftade till att kontrollera att den leverans som Dustin åberopat för uppfyllande av krav på yrkeskunnande gällande lagringslösningar omfattat alla de obligatoriska delar som framgår av punkt 3.2.7.2 i förfrågningsllllderlaget. Bevisbördan för att ett obligatoriskt krav är uppfyllt åligger anbudsgivaren. De svar som en referent lämnar utgör en del av själva anbudet varför den upphandlande myndigheten utifrånreferentens
Sida 10 9341-16

 -----1
--·-- 1 ----
Sida 1 1 FÖRVALTNINGSRÄTTEN DOM 9341-16
svar, liksom av uppgifterna i anbudet, ska kunna avgöra om samtliga obligatoriska laav är uppfyllda eller inte. De uppgifter som referenskunden lämn.ade, nämligen att Tieto Sweden AB och inte åberopad underleverantör
haft ansvar för leveransen av programvaran för säkerhetskopiering framgick tydligt av referenten och styrktes därefter slaiftligen. Det har inte funnits anledning för Statens inköpscentral att betvivla svaret från referenspersonen. Det finns inte någon skyldighet för en upphandlande myndighet att ge anbudsgivare möj lighet att förtydliga eller komplettera sitt anbud. Hur Dustinmenar att inhämtande av ett förtydligande om vad som faktiskt ingått i den leverans Dustin hänvisar till i punkt 3.2.7.2 skulle kunna ske utan att bryta mot likabehandlingsprincipen :framstår i övrigt som oklart.
Anbudsgivaren ska genom Iaavet i punkt 3 .2.7.2 styrka sitt yrkesmässiga kunnande avseende leverans av en komplett lagringslösning installerad i kunds egen it-miljö. Att anbudsgivaren ska kunna redovisa en komplett lagringslösning är ett i högsta grad relevant laav då avropsberättigade myndigheter ska kunna ställa laav på leverans a� ett fullständigt system där ramavtalsleverantören tar ansvar för att tillhandahålla och sammanfoga alla produkter och konsulttjänster som behövs för att kunden ska få efterfrågat resultat.
D u s t i n h a r fö r u p p fy l l a n d e - a v laa v e t i p u n k t 3 . 2 . 7 . 2 r e d o v i s a t e n lagringslösning där en, ingående komponent, progr amvaran för säkerhetskopiering, vatken levererats av Dustin eller av åberopad underleverantör. Den leverans som redovisats ät således inte komplett i den mening som laävs för att kravet ska vara uppfyllt och Statens inköpscenfral har därmed inte kunnat säkerställa att Dustin har tillräckligt yrkeskunnande gällande installation av en fullständig lagringslösning innefattande programvara för säkerhetskopiering. Formuleringen "leverans av en komplett lagringslösning" ska givetvis förstås som att leveransen ska ha omfattat samtliga ingående komponenter och ska ha levererats av
I STOCKHOLM

 FÖRVALTNINGSRÄTTEN I STOCKHOLM
DOM
Sida 12 9341-16
:---- ---
I ' ------- l
--- I
a,nbudsgivaren eller av åberopad underleverantör, vilket också framgår med all önskvtJ.rd tydlighet av kravformuleringen i förfrågnings.underlaget. Någon mer ingående språklig analys av orden "ingått i leveransen" eller "leverans" borde inte krävas. Dustins tolkning av begreppet komplett lagringslösning, d.v.s. att delar av denna skulle kunna levereras av en tredje
part, står i strid med kravets ordalydelse. Det framgår dock mycket tydligt av kravet att anbudsgivaren ska beskriva en leverans av en komplett lagringslösning- genom att ange samtlig. hårdvara och programvara som levererades samt det antal konsulter som tillhandahölls kund för att utföra konsulttjänsterna installation, konfiguration, test och projektledning.
Namnet på 1.mderleverantören ska anges om denna, o�h inte anbudsgivaren, genomfört leveransen. Trots att kravet således inte borde kunna missförstås, vill Statens inköpscentral ändåpåminna om den upphandlande myndighetens tolkningsföreträde gällande skrivningar i det egna förfrågningsunderlaget Gfr Kammarrätten i Sundsvalls dom i mål 2493-1 5). Om det hade fötmstått som oklart för Dustin vad som avses med ''ingått i leveransen" hade Dustin kunnat ställa en fråga eller begära ett förtydligande under frågor- o_ch svarsperioden innan anbudet lämnades in.
Förvaltningsrättens bedömning
! förfrågningsunderlaget.punkt 3.2.7.2 anges bl.a. följande.
Anbudsgivaren ska styi:ka sitt yrkesmässiga kunnande genom att redovisa en tidigare utförd leverans av en komplett lagiingslösning installerad i kunds egen it-miljö. Med lagringslösning avses samtlig aktiv hårdvara och programvara _ftlt att uppnå både primär lagring och sekundär lagring. Lagringslösningen ska ha omfattat hårdvara för kommunikation mellan servrar och lagrings lösning samt mellan primär lagring och sekundär lagring. Både primär och sekundär lagring ska, var för sig, lägst ha teoretisk maximal kapacitet om 100 TB. Programvara för att hantera och övervaka lagringslöshing skahaingåttliksomprogi·atnvaratillsetvrarförattkommuniceramedlagtingslöshingoch för att hantera säkerhetskopiering.
Leveransen ska också minst ha innefattat konsulttjänsterna installation, konfigutation, test o c h p r oj e k t l e d n i n g .
Beskriv leveransen genom att ange namn på aktiv hårdvara (hårdvaruleverantör och modellbeteckning) och programvara (licensgivare och programvarunamn) som levererades
-- I

 I! I:
Sida 13 FÖRVALTNINGSRÄTTEN DOM 9341-16
I STOCKHOLM
samthm· många konsulter som tillhandahölls till kunden för att utföra installation, konfiguration, test och projektledning.
Enligt förvaltningsrättens mening framgi'µ- det tydligt av förfrågningsunderlaget att den leveraris av en komplett lagringslösning som anbudsgivarnaskaredogöraföripunkt3.2.7.2ianbudetskahaomfattat dels tillhandahållande av efterfrågad hårdvara och programvara, dels installation, konfiguration, test och projektledning vad gäller den aktuella lagringslösningen. En normalt omsorgsfull anbudsgivare bör enligt forvaltningsrättens uppfattning dänned ·inse att med leverans av en komplett lagringslösning avses att anbudsgivaren. har försett kunden med den. alctuella hårdvaranochprogramvaranochdärefterutförtdekonsulttjänstersom
krävs för att färdigställa lagringslösningen. Det är i målet ostridigt att Dustins underleverantör EMC, vad gäller det i punkt 3.2.7.2 åberopade referensuppdraget, inte har tillhandahållit prögt'amvaran Tivoli eftersom kunden har köpt denna av en. annan leverantör. Förvaltningsrätten anser därför, även med beaktande av vad Dustin har anfört om att EMC har utfört de konsulttj änster som medförde att den al(tuella programvaran kunde användas i den åberopade lagringslösningen, att det aktuella uppdraget inte uppfyller de hav på en komplett lagringslösnirig som följer av punkt 3 .2.7..2 i förfrågningsunderlaget. Förvaltningsrätten anser vidare inte att förfrågningsunderlaget i denna del är otydligt och det strider därmed inte mot transparensprincipen.
Dustin har anfört att Statens inl(öpscentral har brutit mot likabehandlingsprincipen genom att man vad gäller det alctuella kravet endast har kontaktat angiven referensperson avseende Dustin medan man har godtagit övriga anbudsgivares svar utan att verifiera riktigheten med lamden. Statens inköpscentral har i punkt 3 .2.7. 1 i föt'frågningsunderlaget angett att man kan komma att verifiera anbudsgivarens svar med d.en. kund som angetts. Omständigheten att en upphandlande myndighet efterfrågar kontalctuppgiftei- till en kund innebär enligt förvaltningsrättens mening inte

 Sida 14 FÖRVALTNINGSRÄTTEN DOM 9341-16
någon skyldighet att kontakta samtliga angivna kunder om det inte är fråga om att kunderna ska lämna uppgifter som den upphandlande myndigheten avser att använda vid utvärderingen av vilket anbud som ska antas i
upphandlingarna. Vidare är den upphandlande myndigheten inte skyldig att kontrollera att lämnade uppgifter i sig är riktiga när omständigheterna i det ensldlqa fallet inte ger anledning att ifrågasätta riktigheten (jfr Kammarrätten i Göteborgs dom i mål 4904-09). Statens inköpscentral har funnit anledning attkontrollera riktigheten i de uppgifter som angetts i Dustinssvarvadgällerpunkt3.2.7.2ianbudet. Förvaltningsrättenanserinte att det strider mot likabehandlingsprincipen att övriga anbudsgivares kunder inte har kontaktats vad gäller denna punkt eftersom Statens inl<:öpscentral inte har funnit anledning att ifrågasätta riktigheten i övriga anbudsgivares · svar i denna del. Atea har isitt anbud uppgett att den i punkt 3.2.7.2 aktuella leveransen av en komplett lagringslösning har genomförts av Atea tillsammans med tre namngivna underleverantörer. Omständigheten att det inte framgåt· exakt vilka delar som har utförts av Atea och respektive uiJ.derleverantör utgör enligt förvaltningsriJ.ttens mening inte en anledning till att betvivla att Atea uppfyller det aktuella kravet, särskilt inte som det av
punkt 3.2.7.2 i Ateas anbud framgår att det var Atea som var avtalspart och hade totalentreprenad . FörvaltningsräJten anser därför att vad Dustin har
anfört inte innebär att kontakten med Dustins kund för att verifiera anbudssvaret vad gäller punkt 3 .2.7.2 har skett i strid med
l ikabehandlingsprincipeh,
Dustin har gjort gällande att det aktuella kravet inte är proportionerligt. Kravet på att redovisa en tidigare utförd leverans av en komplett lagringslösrting installeradi kunds it-1niljö är enligt förvaltningsrättens mening lämpligt för syftet att utröna att artbudsgivarna har kunskap att utföra uppdrag av den karaktär som upphandlingarna omfattar. Med hänsyn till upphandlingarnas omfattning anser förvaltningsrätten även att det är nödvändigt för att verifieta anbudsgivarnas kunskaper inom området.
I STOCKHOLM
I:

 Sida 1 5 FÖRVALTNINGSRÅTTEN DOM 9341-16
Förvaltningsrätten; som beaktar att anbudsgivarna fritt har kunnat åberopa uppdrag som har utförts av underleverantörer, anser inte att omständigheten att samtliga potentieliaanbudsgivare kanskeinte kan åberopaett dylikt uppdrag utgör skäl att inte tillämpa ett dylikt krav. Förvaltningsrätten konstaterar även att Dustin har uppgett att man hade åberopat ett annat uppdrag om man hade insett vad Statens inköpscentral efterfrågade. Dustin har således inte gjort gällande att endast ett fåtal anbudsgivare kan uppfylla det aktuella kravet eller att det aktuella kravet skulle vara svårt att uppfylla. Vid en sammantagen bedömning anser förvaltningsrätten därför att det aktuella kravet är förenligt med proportionalitetsprincipen.
Dustin bar ävenanfört att man borde ha fått komplettera sitt anbud med hänsyn till att andra anbudsgivare hat fått komplettera sina anbud vad gäller andra krav i upphandlingarna. Enligt 9 kap. 8 § andra stycket LOU får en upphandlande myndighet begära att ett anbud förtydligas eller kompletteras om det kan ske utan risk för särbehandling eller konkurrensbegränsning. I det här fallet är det dock inte fråga om att Dustins anbud är otydligt eller behöver konlaetiseras, då det är tydligt att det aktuella referensuppdraget inte uppfyller samtliga krav som ställs på dessa. En komplettering skulle inte kunna leda till att :Öustins anbud godkändes i denna del . Detta skulle kräva att det aktuella referensuppdraget byttes ut mot ett annat, vilket skulle strida mot likabehandlingsprincipen och därför inte vara tillåtet enligt 9 kap. 8 § LOU. Omständigheten att Dustin inte har beretts tillfälle at� förtydliga eller komplettera sitt anbud kan därmed i vart fall inte anses ha inneburit någon skada för Dustin. Vad Dust1n har anfört i denna del föranleder således inte något ingripande enligt LOU.
I STOCKHOLM

 FÖRVALTNINGSRÅTTEN I STOCKHOLM
Sida 16 9341-16
Punkt 3,2.9.1 i förfrågningsunderlaget
Vad Dustin har anfört
I ,· I I_ _ � DOM
I i
Statens inköpscentral har som skäl för uteslutning av Dustin angett att varken punkt 2 eller 3 i krav 3.2.9.1 framgår av Dustihs anbud. Av kravet i punkt 3.2.9.1. framgår enbartkrav på att anbudsgivarenska bedriva ett· systematiskt informationssäkerhetsarbete gällande den egna verksamheten som minst omfattar punkterna 1-4 och att anbuds. givaren till stytk&nde av detta ska inkoilllna med en beskrivning som ska vara så utförlig att det tydligt framgår att punkterna 1-4 är uppfyllda. Det anges inte något
m i n i m i k r a v p å v a d b e s kr i v n i n g e n a v v a rj e p u n k t s o m m i n s t s k a i n n e h å l l a . Kravet är således mycket brett formulerat och det ställs inte några kravpå redogörelsens omfattning eller detaljrikedom. Kravet på redogörelsens innehåll måste därför ställas lågt.Det finns inte stöd i laavets fonnulering för Statens inköpscentral att värdera om de angivna målen är bta eller dåliga, eller vilken nivå informationssäkerhetsarbetet ska ligga på.
Dustin har avseende punkt 2, upprättande och uppföljning av informatiönssäkerhetsmål för verksamheten, angett de informationssäkerhetsmål som finns i verksamheten . Till skillnad från v ad · Statens inköpscentral påstår berör Du.stins anbudsbilaga frågan om kunduppgifter på ett flertal ställen. Under rubriken Informationssäkerhetsmål anges tydligt att ''All information som ägs eller
h a nt e r a s a v D u s t i n s k a h a . t i l l r ä c kli g t i n fo r m a t i o n s s äk e r h e t s s k y d d � ' . D u s t i n hanterar kundinformation. Kundinformation omfattas därmed av allt som skrivs i bilagan. Detta tydliggörs återigen under rubriken Informationssäkerhet d är det framgår att "Värdefulla tillgångar inom Dustin består av olika typer av informationsåsom teknisk data, kunduppgifter mm som är viktiga att skydda och hantera på ett korrekt sätt . För att kumm göra detta måste informationssäkerhetsrisken övervakas och hanteras
 
 ----- I I ,-- - I I ------------ I
FÖRVALTNINGSRÅTTEN DOM I STOCKHOLM
kontinuerligt. Arbetet med detta bygger på den internationella standarden ISO/IEC 27001." Det är svårt att förståvad Statens inköpscentral kan anse är oklart med målet om att all information som ägs eller hanteras av Dustin ska ha tillräckligt informationssäkerhetsskydd. Det anges vidare att "All information sonnör säkerhetsrelaterade policies och riktlinjer har fastställts av Information Security Manager och anger miniminivån för informationssäkerhet som måste upprätthållas inom Dustin. Security Manager ansvarar även för att fastställa informationssäkerhetsmål samt övervakar att dessa uppnås". Statens inköpscentral menar att informationssäkerhetsmålet "skador på Dustins information och informationssystem ska förhindra eller begränsas" inte är tillräcldigt eftersom informationen behöver skyddas från obehörig åtkomst. Detta framgår dock om man tar del av Dustins anbudsbilaga i sin helhet. Under
rubriken Säkerhet inom Human Resources/Personal anges följande, ''Alla Dustinanställdå måste skriva under ett sekretessavtal. För att en extern part ska få tillgång till konfidentiell information inom Dustin eller Dustins IT­ system eller nätverk måste det finnas ett undertecknat sekretessavtal nielJan Dustin och den externa parten. All otillåten användning av Dustins informationssystem eller nätverk betraktas som och kommer att hanteras som ett intrång." Dän�töver behandlas frågan i detalj under rubrikerna Kommunikation och verksamhfJtsledning samtAtkomstkontroll. Dustin hal' således beskrivit att man bedriver ett arbete i förhållande till upprättande och uppföljning av informationssäkethetsmål samt hUJ.' den processen ser ut hos Dustin med inblandning av vilka roller och tj änsteansvar. Statens inköpscentrals påstående att anbudsbilagan helt saknar en beskrivning av punkten 2 i kravet är därmed direkt felaktig.
Vad gäller punkten 3, identifiering och hantering av risker, har Dustin beskrivit sitt arbete härmed och det är därför svårt att förstå Statens inköpscentrals slutsats att Dustins anbud helt saknar en sådan beskrivning. Oin Statens inköpscentral gör den bedömningen baserat på att Dustin har
Sida 17 9341-16
 
 FÖRVALTNINGSRÄTTEN DOM I STOCKHOLM
Sida 18 9341-16
valt att behandla avsnitt 3 och 4 samlat och inte skrivitin otdet och mellan rubtikerna utgör det en orimligt strikt tillämpning av kravet som inte har stöd i dess objektiva ordalydelse. Enläsning av texten som följer på de två rubrikerna räcker för att konstatera att punkt 3 i kravet finns behandlad i anbudet. Under rubriken 111/ormationssäkerhetsorganisation framgår att ledningen för elen operativa avdelningen ska utse en lokal Risk Officer med ansvar för att identifiera och samordna de dagliga säkerhetsaktiviteterna, inom respektive landsenhet. Vidare beskrivs hur rap_portering sker och vem som samordnar säkerhetsaktiviteterna ur ett generellt riskperspektiv. Det anges att Dustin arbetar efter en riskbaserad metod för att bedöma vätdet av de uppgifter som hanteras, dess känslighet o_ch lämpligheten av säkerhetskontroller på plats eller som planeras och att regelbunden översyn är nödvändig. Slutligen beskrivs att samtliga operativa enheter måste upprätta beredskapsplaner som är lämpliga för resultatet av de
risk:bedömningarsomgjorts.Beskrivningarnaavsersåledesfrågorom identifiering och hantering av risker, varför Statens inköpscentrals påstående om att det helt saknas _en beskrivning av punkten 3 är direkt felaktig. Det är inte förenligt med proportionalitetsprincipen att förkasta Dustins anbud när efterfrågade uppgifter finns med i samma dokumentmen under delvis andra rubriker GfrKammanä,tten i Sundsvalls dom i mål nr 330-16).
Givet kravets-utformning är Dustins beskrivning av sin informationssäkerhetspo:licy tillräckligt utförlig eftersom den omfattar och beskriver de fyra_punkterna. De brister Statens inköpscentral för fram i förhållande till Dustins informatiOnl)Sä,kerhetspolicy är på en orimligt petig nivå som i11te har stöd i kravets ordalydelse. facempelvis uppges att beskrivningen innehåller "främmande formuleringar" eller att man på ett ställe använt ordet "politik" istället för engelskans "policy". Om förvaltningsrätten skulle anse att Dustins anbudsbilaga inte är tillräckligt utförlig gör Dustin gällande att de i så fall förekommande avvikelserna i Dustins anbudsbilaga i förhållande till kravet är irrelevanta. Sådana
- ----- r
--' -------- -
I1
  
 Sida 19 FÖRVALTNINGSRÅTTEN DOM 9341 - 1 6
I STOCKHOLM
avvikelser står inte i proportion till konsekvensen av att anbudsgivaren utesluts från upphandlingarna och det strider därmed mot proportionalitetsprincipen att utesluta anbudet på den angivna grunden.
Punkterna 1-4 i krav 3 .2.9; 1 anger �nte att själva policyn i sig hela tiden ska bli bättre. Syftet med .en policy är inte att den kontinuerligtska ändras, utan den ska fastslå de övergripande riktlinjerna för det kontinuerliga it:ifortnationssäkerhetsarhetet. Dustin bedriver dock ett kontinuerligt förbättringsarbete avseende infonnationssäkerhet, vilket framgår av informationssäkerhetspolicyn under rubrikerna Informationssäkerhetsorganisation och Kommunikation och Verksamhetsledning. Omständigheten att Dustin bedriver ett ständigt förbättringsarbete inom verksamheten innebär inte att Dustin därmed ändrar
pölicydokumentet vatje gång en sådan förbättring sker. Dustins policy anger dock att den ses ö:ver årligen eller oftare vid väsentliga förändringar.
I fyra nrligen genomförda iamavtalsupphandlingar avseende programvarulicenser ställde Statens inköpscentral ett identiskt krav avseende systematiskt infonnationssäkerhetsarbete. Dustin bifogade till sina anbud i de upphandlingarna exakt samma policy för systematiskt informationssäkerhetsarbete som i de nu alctuella upphandlingarna. I de tidigare upphandlingarna godtog Statens inköpscentral Dustins anbudssvar. Dustin har därmed en legalt berättigad förväntan på att anbudsbilagan skulle godtas äveh denna gång. Omständigheten att Statens inl<.öpscentral inte längre godkänner exakt samma anbudssvar på ex:al(t samma krav innebär ett godtycke som inte ärförenligt med transparensprincipen.
Av tilldelningsbeslutet framgår att enbart en annan anbudsgivare inte har ansetts uppfylla det aktuella kravet. Den anbudsgivaren har dock inte gett in någon beskrivning alls av sitt systematiska informationssäkerhetsarbete. Vid en genomgång av övrig_ a anbudsgivares svar avseende punkt 3 .2.9. 1 är det
- --- I
           
FÖRVALTNINGSRÅTTEN I STOCKHOLM
Sida 20 9341-16
! 1 ---�-------I ,------------------- I ,---- DOM
r ,-"----
 svårtatt förstå de sakliga skillnaderna mellan dessa anbudssvar och Dustins anbudssvar. Vid enjämförelse mellan Dustins svarpå punkt 3.2.9.1 och B2B IT-Partners (B2B) och Kärn-IT AB :s (Kärn-IT) svar, vilka har godtagits av Statens inköpscentral, kan man konstatera att Dustins anbudsbilaga innehåller motsvarande och ibland t.o.m. mer information. Kärn...JT:s anhudsbilaga om informationssäkerhetsarbete nämner överhuvudtaget inte hur man arbetar med identifiering och hantering av risker. B2B använder inte ens de fyra punkterna i kravet som rubriker i den ingivna ha11dlingen. På objektiva grunder är clet sålecles inte möjligt att godkänna B2B:s och Kärn-IT:s anbudsbilagor och samtidigt påstå att punkterna 2 och 3 inte framgår av Dustins anbudsbilaga. Detstrider mot
transparensprincipen och likabehandlingsprincipen att utesluta Dustin på grund av att beskrivningen i anbudsbilagan inte är tillräckligt utförlig när liknande beskrivhingar från andra anbudsgivate godtagits och eftersom kravet helt saknar ledning om var laavnivån ligger. I praxis har krav som rymmer.dylika oklarheter eller motstridigheter inte ansetts kunna ligga till grund för uteslutning av en anbudsgivare eller förkastande av anbud Gfr Kammarrätten i Jönköpings dom i mål 2176-1 1). Av tilldelhingsbesluten framgår att bå_de B2B:s och Kärn-IT:s anbud uppfyller samtliga kvalificeringskrav och därmed har gått vidare till prövning av de obligatoriska lcraven i avsnitt 4. Statens inköpscentral har alltså godkänt dessa bolags anbudsbilagor-avseende kravet i punkt 3.2,9.1. Det saknar då relevans att dessa två bolag inte erhållit ramavtal eftersom det beror på andra orsaker.
Vad Statens inköpscentral har anfört
Av kravet i punkt3.2.9.1 i förfrågningsunderlaget framgår att besk.rivningen av anby_clsgivamas systematislca informationssäk.erhetsarbete ska vara s� utförlig att det tydligt fram.går att puructema 1�4 är uppfyllda, Av Dustins

 I
, - ------- 1 ,----- --------- -------
Sida 21 FÖRVALTNINGSRÄTTEN DOM 9341-16
beskrivning av punkten 2, upprättande och uppföljning av informationssäkerhetsmål för verksamheten, framg�r följande:
Denna policy omfattar användning av information och informationsteknik. Syftet med denna politik 1\r .fclljande:
- All information som ägs eller hanteras av Dustin ska ha tillräckligt informationssäkerhetsskydd.
- Dustins informationssäkerhetsnivåmäste bibeh&llas och förbätt_ras för att ytterligare uppfylla företagets k1'av på lagstiftning, :Wrordningar och bolagsstyrning.
- Skador på Dustins info1mation och informationssystem ska förhindras eller begränsas.
Dustins beskrivning innehåller flera brister och i sammanhanget främmande formuleringar. Trots att Dustin uppger att bolagets informations� säkerhetsarbete bygger på den internationella standarden för info1mationssäkerhet ISO/IEC 27001 salmas exempelvis tre av de fyra grundläggande mål (sekretess, riktighet, spårbarhet och tillgänglighet), kring vilka jnfonnationssäkerhetsarbete regelmässigt koncentreras. Ett av Dustins informationssäkerhetsmål uppges istället vara att "skador på Dustins information eller informationssystem ska förhindras eller begränsas". Målet avser sålunda endast Dustins information ochinformationssystem och innefattar över huvud taget inte Dustins hanteri11g av kundernas information.
Värdet av ett dylikt mål för en leverantör av avancerade lösningar för datacenter kan ifrågasättas. Att Dlistins policy för användning av information och informationsteknik definieras som "politik" liksom att Dustins informationssäkerhetsnivå måste bibehållas och förbättras för att "ytterligare uppfylla företagets krav på lagstiftning, förordningar och bolagsstyrningII bidrarocksåtillattbeskrivningenisinhelhetintekananses uppfylla kravet på e11 adekvatredogörelse för ihformationssäkerhetsrnål för verksamheten. Det är högst oklart vad Dustin avser med formuleringen att "All information som ägs eller hanteras av Dustin ska ha tillräckligt informationssäkerhetsskydd". I vilket avseende infortnationssäkerhetsslcyddet ska vara tillräckligt framgår inte. Vidare anges att "Skador på Dustins information och infotmfl.tionssystem ska förhindras eller begränsas" . Det framgår inte huruvida även skador på Dustins kunders information ska förhindras eller begränsas. Eftersomen
iI
I STOCKHOLM
 
-- ------- --- ------- I --------- I
 Sida 22 FÖRVALTNINGSRÄTTEN DOM 9341-16
leverantör av datacen:ter måste kunna erbjudasinakunder adekvat infmmationssäkerhet räcker detinte att beskrivningen avser Dustins egen information. Det är vidare inte tillräckligt att förhindra _eller begränsa skad_or på information. Informationen behöver di:ituföverskydda� mot obehörig åtkomst samt vara tillgähglig för behöriga när den ska anvähdas. Informationen måste även kunna skyddas mot obehöriga förändringar. Dustins policy gällande upprättande och uppföljning av
informationssäkerhetsmål saknar en trovärdig beskrivning av hur Dustin arbetar med detta och är sammanfattningsvis så bristfällig att den svårligen kan anses uppfylla de mest grundläggande krav på adekvat systematiskt informationssäkerhetsarbete i denna del.
I Dustins anbudsbilaga saknas helt en beskrivning av punkt 3, identifiering och hantering av risker. Det saknas helt och hållettext under bilagans pqrtkt 3 . Det finns. inte heller någon hänv isning till någon annan del av bilagan där info1mationen finns. Den text som finns under bilagans punkt 4 beskriver ansvar och befogenheter att fastställa resurser och har ingenting med identifiering ochhanteringavrisker att göra. Att det i texten förekommer ordet "risk" ändrar inte det förhållandet. Det saknas exempelvis helt uppgifter om Dustins processer för att identifiera och hantera risker. Dustin uppfyller därmed inte kravet på systematiskt infonnationssäkerhetsarbete
vad avseridentifiering och hantering av risker.
Statens inköpscentral vill understryka vikten av att ra,niavtafaleverantörer av förevarande tjänster bedriver ett systematiskt och ansvarsfullt informationssäkerhetsarhete. Ramavtalen kommer att kunna användas av såväl hela statsförvaltningen som av kommuner och landsting, med andra ord sådana organisationer som hanterar information med stor betydelse för viktiga samhällsfunktioner och som ställer höga krav på att information kan hanteras på ett tillförlitligt och fa.genligt sätt. Dustin har inte beskrivit sitt systematiska informationssäkerhetsarbete i enlighet med det obligatoriska
I STOCKHOLM

 Sida 23 FÖRVALTNINGSRÄTTEN DOM 9341-16
I STOCKHOLM
kravetipunkt3.2.9.1 dådetinteframgåravbeskrivningenattpunkterna2 och 3 är uppfyllda.
Statens inköpscentral kan självfallet inte göra en skönsmässig bedömning av vad som ska anses vara en godtagbar beskrivning enligt punlct 3 .2.9.1 i fötfrågningsunderlaget. Som kravet ät formulerat behövet redovisningen dock styrka att aribudsgivaren faktiskt arbetar systematiskt med informationssäkerhet för verksamheten samt beskriva hur punkterna IA uppfylls. För att kravet ska fylla någon funktion måste således framgå av redovisningen att anbudsgivaren har en etabletad process för att hantera info1mation och trovärdigt kan beskriva hur punlcterna 1-4 uppfylls.
Dustin anför att Statens inköpscentral har godtagit Dustins policy för systematiskt informationssäkerhetsarbete i tidigare upphandlingar av programvarulicenser. Vad som förekommit i en tidigare upphandling är dock natutUgtvis inte relevant för bedömningen av Dustins anbud i de nu aktuella upphandlingarna.
Vad Dustin har anfört om att Statens inkopscentral har godtagit Käm-lT:s och B2B:s anbudsbilagor om informationssäkerhetsarbete saknar relevans av det skälet att dessa bolag inte erhöll ramavtal i upphandlingarna. Ett tilldelningsbeslut innehåller sedvanligen kortfattad och relevant information om vem ellervilka som har tilldelats upphandlingskontralctet samt skälen :(ör det. Oustin kan därför omöjligen veta huruvida nämnda bolag har ansetts uppfyllakravet på systematiskt informationssäkerhetsarbete eller inte.
Förvaltningsrtittens bedömning
I punkt 3.2.9..1 i förfrågningsunderlaget anges bl.a. följande.
Anbudsgivaren samt relevanta underleverantörer ska bedriva ett systematiskt informationssäkerhetsarbete gällande den egna verksamheten som minst omfattar:
1 . Policy för informationssäkerhet
 
I i
----1 !----
-__f -- --
I !
 FÖRVALTNINGSRÄTTEN I STOCKHOLM
DOM
Sida 24 9341-16
2. Upprättande och uppföljning av informationssäkerhetsmål för verksamheten
3. Identifiering och hanteting av risker
4. Fastställa villca resurser som behövs samt tilldela ansvar och befogenheter vad gäller infonnationssäkerheten
Anbudsgivaren ska inkomma med beskrivning som ska Vara så utförlig att det tydligt framgår att punkterna 1 -4 är uppfyllda. Beskrivning avseende systemat1skt informationssäkerhetsarbete ska bifogas 1:1nbudet.
I det fall anbudsgivaren är certifierad enligt ett visst infonnationssäkerbetssystem kan detta certifikat _bifogas för att styrka beskrivningen.
Statens inköpscentral har efterfrågat en beskrivning av anbudsgivarnas systematiska informationssäkerhetsarbete. Det är inte fråga om ett utvärderingskriterium vid vilket anbudsgivamas beskrivningar poängsätts, utan ett kvalificeringskriterium som antigen kan vata uppfyllt eller inte. Medhänsyntilldettafinnerförvaltningsrättenattuppgifternaipunkt3.2.9.1 i förfrågningsunderlaget är tillräckliga för att en branschvan leverantör ska förstå vad som krävs av beskrivningen. Förvaltningsrätten anser därmed att
förfrågningsun.derlaget i denna del är tillräckligt tydligt för att vara förenligt med transparensprincipen. Enligt förvaltningsrättens mening kan detinte anses vara oproportionerligt att den upphandlande myndigheten i en dylik upphandling ställer minimikrav på anbudsgivarnas systematiska informationssäkerhetsarbete. Förvaltningsrätten anser inte heller att det är oproportionerligt att utesluta en anbudsgiv!':ll'e som inte uppfyller _ska-kravet ipunkt3.2.9.1.
Förvaltningsrätten delar Statens inköpscentrals bedömning att det av Dustins anbudsbilaga om systematiskt informationssäkerhetsarbete inte tydligt framgår att Dustin oedriver ett systematiskt informationssäkerhetsarbete som . är godtagbart vad gäller upprättande och uppföljning av informationssäkerhetsmål för verksamheten samt identifierjng och hantering av risker. Förvaltningsrätten anser därför att Statens inköpscentral har haft fog för att utesluta Dustin ur upphandlingarna med hänsyn till att det aktuella ska-kravetinte ·&:r uppfyllt.
-----

 ,----- -�----------- FÖRVALTNINGSRÅTTEN
-__I ,-- -----
I STOCKHOLM
Sida 25 DOM 9341-16
Dustin har uppgett att bolaget har lämnat sammabeslaivning avseende sitt informationssäkerhetsarbete i en tidigare upphandling som hade samma krav och att beslaivningen då godkändes. En bedömning som har skett i en tidigare upphandling är dock enligt förvaltningsrättens mening inte relevant för bedömningen av uppfyllandet av ett krav i de aktuella upphandlingarna även om de har formulerats på samma sätt.
- Dustin har anfört att det strider mot likabehandlingsprincipen att inte godta bolagets infonnationssäkerhetsbilag� då denna är mer utförlig_ än de infonnationssäkerhetsbilagor som ingetts av B2B och Kärn�IT. Vad gäller
- B2B:s infonnationssäkerhetsbilaga har Dustin anfört att denna inte använder de fyra punkterna i havet som rubriker. Enligt förvaltningsrättens mening är dettadock inte någotkrav enligt punkt 3.2.9.1, utan vad som krävs är att det tydligt framgår att punkt 1-4 är uppfyllda. Dustin har inte lämtiat något konkret exempel på vilken information man anser saknas i B2B:s infotmationssäkerhetsbilaga. Vidare har både B2B och Kärn-IT uteslutits ur upphandlingarna för att de inte har ansetts uppfylla samtliga övriga obligatoriska krav i upphandlingarna. Även om man skulle anse att deras informationssäkerhetsbilagor inte är tillräcldigt utförliga finner
förvaltningsrätten att omständigheten att de inte har uteslutits ur upphandlingarna också av denna anledning inte kan anses innebära någon skada för Dustin.
Skada
Dustin har anfört att anbudsgivarna Atea, In.front IT-Partner AB (Infront IT), TDC Sverige AB (TDC) och Cygate AB (Cygate) borde ha uteslutits ur upphandlingarna eftersom de inte uppfyller ·samtliga de obligatoriska krav som ställs på anbuden. bustin har vidare uppgett att Statens iriköpscentral inte har uppgett några invändningar mot Dustins anbud vad gäller utvärderingskriteriema och att Dustin om dess anbud inte hade uteslutits ur

  I,- I' , --------l
FÖRVALTNINGSRÄTTEN DOM 9341-16
I STOCKHOLM
upphandljngama således skulle ha erhållit full poäng vid utvärderingen och därmed enplats på respektive ramavtal före Atea somhade färre poäng i samtliga upphandlingar. Om Dustin inte hade uteslutits hade Dustin i vart fall haft möjlighet att delta i en lottning om platserna på ramavtalen.
Dustin anför_ocksåföljande. Även om.förvaltningsrätten skulle anse att · Statens inköpscentral har haftlaga skäl för att utesluta Dustin ur
upphandlingarna lider Dustin likväl skada på grund av Statens inköpscentrals felaktiga bedömning av Ateas, Infront IT:s, TDC:s och Cygates anbud. EU-domstolen fastställde i mål
C-100/12 Fastweb att även en anbudsgivare med brister i sitt anbud lider skada om andra också. bristfälliga anbud godtas. Statens inköpscentral har antagit fem andra anbudsgivare som inte uppfyller obligatoriska krav i upphandlingarna. Om Statens inköpscentral hade bedömt dessa fem anbud p å e t t k o r r e k t s ä t t h a d e S t a t e n s i n k ö p s c e n t r !:l- 1 b a r a h a ft e t t a n b u d a t t e r bj u d a ramavtal. Det är inte troligt att Statens inköpscentral i en sådan situation
hade valt att gå vidare med tilldelningen utan istället hade valt att avbryta upphandlingarna. Den princip som kommer till uttryck i Fastweb gör sig därmed gällande i målet.
För att ett ingripande i upphandlingarna ska bli aktuellt i målet krävs enligt 16kap. 6 §LOU attDustinharlidit skada.avatt Statensinköpscentralhar
handlat i strid med LOU. Det ankommer på den part som ansöker om överprövning av en upphandling att visa att han bar lidit eller kan komma att lida skadaav den eller de brister som påtalas Gfr HFD2013 tef. 53).
Dustins anbud har uteslutits från utvätdering i upphan�lingarna eftersom Statens inköpscentral h� bedömt att det inte uppfyller kvalificeringskraven i punkt3.2.7.2 och 3.2.9.1 i upphandlingama. Förvaltningsrätten delar, som framgår ovan, denna bedömning och Dustins anbud har sålecles rätteligen uteslutits från utvärdering i upphandlingarna. En a.n.budsgivare som rätteligen har förkastats i kvalificeringsfasen riskerar normalt sett inte att
Sida 26
 
I!
I ·-·---- -------�------ I '
_---------�I
   FÖRVALTNINGSRÄTTEN DOM I STOCKHOLM
lida någon skada av att upphandlande myndighet int1;J har beaktat att även en annan anbudsgivare borde ha uteslutits, såvidainte samtliga andra anbud också borde ha förkastats varvid upphandlingarna måste göras om (jft Kammarrätten i Stockholms avgörande i mål 5630-15 och 6420-15). Dustin
har uppgett att Statens inköpscentral har antagit fem anbudsgivare som inte uppfyller obligatoriska krav i upphandlingarna. S{witt förvaltningstätten kan utläsa av Dustins argumentation i målet har Dustin dock inteanfört någonting om att anbuden från Network Services Norden AB eller Proact IT Sweden AB, som har tilldelats ramavtal i upphandlingarna, inte sk:ulle uppfylla kraven i förfrågningsunderlaget. Även om anbuden från TDC, lnfront IT, Atea och Cygate inte skulle anses uppfylla samtliga obligatoriska laav i förfrågningsunderlaget skulle det således inte finnas något skäl att förordna att upphandlingarna ska göras om av den anledningen att inget av anbuden uppfyller kraven i förfrågningsunderlaget. Dustin har därmed inte kunnat lida någon skada av förhållandet att dessa anbudsgivare har tilldelats ra m a v t a l i u p p h a n d l i n g a r n a o c h fö r v a l t n i n g s r ä t t e n s a kn a r d ä r fö r a n l e d n i n g att pröva huruvida de uppfyller samtliga obligatoriska krav i förfrågningsunderlaget.
Sammanfattningsvis finner förvaltningsrätten således att Dustin inte har visat att det föreligger skäl för ingripande mot upphandlingarna enligt 1 6 kap . LOU. Dustins ansökan härom ska därför avslås,
Förvaltningsrätten anser inte att det föreligger skäl för att enligt 1 6 k ap. 1 0 § :fjärde stycket LOU besluta att någon tiodagarsfrist inte ska gälla. Statens inköpscentrals yrkande härom ska därför avslås.
Sida 27 9341-16
    .
         
 --------- I ,- -- - -�- ---- --- --- I
Sida 28 FÖRVALTNINGSRÄTTEN DOM 9341-1 6
I STOCKHOLM
HUR MAN ÖVERKLAGAR
Detta avgörande kan överklagas. Information om hur man överklagar finns i bihi.ga (DV 3109/lA LOU).
(P- 1 � c - c ()_____ . Eva Pedersen
Rådman
Föredtagandehar varit Cecilta Larsson.
     
r-II
tt,,,c
" SVERIGES DOMSTOLAR
HUR MAN ÖVERKLAGAR - PRÖVNINGSTILLSTÅND
 Den sotnvill överklaga förvaltningsrättehs beslut ska skriva till Kammarrätten i Stockholm. Skri­ velsen ska dock skickas eller lämnas till föt­
valtningsrätten.
Överklllgandet ska ha kommit in till förvalt­ ningsrätten inom tre veckor från den dag .då klaglJ.Ilden: fick del av beslutet Om beslutet har meddelats vid en muntlig förhandling, eller det via en sådan förhandling har angetts när beslutet kommer att meddelas, ska dock överklagandet ha kornm.it in inom tre veckor från den dag domstolens beslut meddelades. Tiden för övet­ klag31'ldet för offentlig part räknas från den dag beslutet meddelades.
Om sista dagen för överklagandet infaller på lördag, söndag eller helgdag, midsommarafton, julafton eller nyårsafton räcker det att skrivelsen kommer in nästa vardag.
För att ett överklagande slra kunna tas upp i .kammarrätten fordras att prövningstillstånd meddelas. Katnmartätten lärn:nar prövningstill­ stånd om
1. detfuw_sanledningattbetvivlariktighetenav det slut som förvaltningsrätten har kommit till,
2. de:t inte utan att sådant tillstånd meddelas går att bedöma riktigheten av det slut som för­ valtningsrätten har kommit till,
3. detäravviktförledningavrättstillämpning­ en att överklagandet prövas av högre tätt, e l - ler
4. detannarsfinnssynnerligaskälattpröva överklagandet
Om prövningstillstånd inte meddelas ståt för­ valtningsrättens beslut fast Det är därför viktigt att det klllrt och tydligt framgår av överklagandet till kammarrätten varför man anser att pröv­ ningstillstånd bör meddelas.
Skrivelsen med överklagande skaJnnehålla
1. Klagandens person-/organisationsnUOllD.er, postadress, e-postadress och tdefonnummer till bostaden och mobiltelefon. Adress och telefonnummer till klagandens arbetsplats ska också anges samt eventuell annan adress
däl: klaganden kan nås för delgivning. Om dessa uppgifter har lämnats tidigare i målet - och orn de .fortfarande är aktuella - behöver de inte uppges igen. Om klaganden anlitar ombud, ska ombudets namn, postadress, e­
postadress, telefonnummer till arbets-pla.tsen och mobiltelefonnummer anges. Oto. någon person- eller adressuppgift ändras, ska änd­ .Illlgen utan dtöjsrnål anmälas till karntnarrät­ ten.
2. den dom/beslut som överklagas med upp­ gift .om förvaltningstättens namn, målnum­ mer samt dagen för beslutet,
3. de skäl som klaganden anger till stöd för en begäran om prövningstillstånd,
4. den ändring av förvaltningstättens · dom/beslut som klaganden vill få till stånd,
5. de bevis som klaganden vill åberopa och vad han/hon vill styrka med varje särskilt bevis.
Adressen till förvaltningsrätten framgår av do­ men/beslutet.
I vissa mål får avtal slutas innan tiden för över­ klagande av rättens dom eller beslut har löpt ut Detta gäller mål om överpröv.ning enligt:
-- - - ------ -
www.domstol.se
• •
lagen (2007:1091) om offentlig upphandling,
lagen (2007:1092) om upphandling inom områdena vatten, energi, transpo.t;ter och posttjänster, eller
lagen (2011:1029) om upphandling på för- svars- och säkerhetsområdet
•
I de flesta fallfår avtal slutas när tio d ar har
ag
gått från det att rätten avgjort .målet eller upp­ hävte:ttinterimistiskt beslut. I vissa fall får avtal slutas omedelbart. Ett överklagande avrättens . avgötande får inte prövas sedan avtal har slutits . Fullständig information finns i 1 6 kapitlet i de ovan angivna lagarna.
Behöver Ni fler upplysningar om hur man över­ klagar kan Ni vända Er till förvaltningsrätten.