Att en leverantör uteslutits i utvärderingsfasen i en offentlig upphandling var felaktigt då det inte fanns några krav på att anbudsgivarna skulle bevisa att eller beskriva hur vissa säkerhetskrav uppfylldes. Om kommunen hade varit tveksamma till huruvida kraven hade uppfyllts skulle kommunen i stället ha inhämtat bevis för att kravet hade uppfyllts vilket ej hade gjorts. Då det var ostridigt att leverantören uppfyllde de ifrågasatta kraven skulle anbudet tas upp till utvärdering.
Sundsvalls kommun genomförde en upphandling av printtjänster och Office Mitt AB antogs som leverantör. Upphandlingen genomfördes med öppet förfarande och omfattade ett tjänsteavtal för hela Sundsvalls kommunkoncern samt helägda eller delägda bolag. Avtalstiden var fem år samt ett avvecklingsår där befintlig leverantörs tjänster ersättes med ny leverantörs tjänster.
I underlaget angavs bl.a. följande:
”Samtliga inloggningsvägar på hård- eller mjukvara i system oavsett protokoll ska vara lösenordsskyddade och anslutningen krypterad. Exempelvis webbgränssnitt ska använda https, filöverföring med SFTP istället för FTP och om konfiguration över snmp behövs ska det ske över SNMPv3.”
Konica Minolta Business Solutions Sweden Aktiebolag (Konica) ansökte om överprövning och anförde i huvudsak följande. Så som Konica förstår det menar kommunen att kravet inte är uppfyllt eftersom Konica inte har stöd för filöverföringstypen SFTP. Kravet uppfylls istället med stöd av port 443 och protokollet WebDav/HTTPS och den lösningen har såvitt Konica förstår inte ifrågasatts av kommunen. Att kommunen förkastat Konicas anbud synes främst bygga på ett missförstånd som uppstod vid anbudsgenomgången. I direkt anslutning till texten ”Scan to FTP” i anbudsbilaga 5 4.1 står texten ”Webdav Port 443”. Det råder således ingen tvekan om att Konica har angett att WebDav-protokollet kan användas för att åstadkomma den säkerhetsnivå som efterfrågats i kravet och designat anbudet utifrån det obligatoriska kravet. Kommunen verkar ha missförstått Konicas anbudsbilaga Portar. Kommunen menar att det inte finns någon hänvisning till att kommunikation kan eller ska köras på alternativt protokoll. Av bilagan framgår att det är obligatoriskt att använda port 443 och protokoll WebDav/HTTPS för att genomföra en WebDav-skanning. En klartextscanning ska ske genom port 21 och med protokoll FTP. Konicas lösning kräver inte någon annan inloggning eller anslutning än WebDav/HTTPS. När den inloggningen och anslutningen används är inga andra protokoll, såsom FTP, möjliga att använda eftersom övriga inloggningsvägar och anslutningar låses. Det har därför inte varit aktuellt för Konica att nämna eller säkerställa hur eller att andra möjliga protokoll på marknaden uppfyller kravet i avsnitt 8.21. Konica bjöds in till en anbudsgenomgång av de obligatoriska kraven i avsnitt 8.26 och 8.27. Det är riktigt som kommunen skriver att Konicas representant svarade nej på frågan om skanning-funktionen stöder SFTP eller FTPS. Svaret är rätt eftersom skanningen inte stöder STFP eller FTPS utan WebDav/HTTPS. Vidare är det också riktigt att Konicas representant bekräftade att om lösningen för skanning-funktionen till FTP skulle användas så skulle lösningen ske i klartextformat och inte i krypterat format. Det är endast om WebDav/HTTPS används som lösningen kan ske i krypterat format. Konica fick dock aldrig frågan om vilken teknisk specifikation som bolaget skulle använda för att uppfylla den tekniska säkerhetsfunktionen i kravet i avsnitt 8.21. Eftersom Konica uppfyllde kravet, och eftersom genomgången gällde kraven i avsnitt 8.26 och 8.27, ansåg inte Konica att det hade någon betydelse att frågan inte diskuterades ytterligare vid genomgången. Kommunen har haft möjlighet att begära förtydligande om något kring Konicas lösning i denna del varit oklart men har inte gjort det, varken vid anbudspresentationen eller på något annat sätt. Konica har inte haft någon skyldighet eller rättighet att ta upp frågan eftersom det inom ramen för ett öppet förfarande ankommer på den upphandlande myndigheten att under en anbudspresentation ställa frågor till leverantören om något i anbudet anses vara otydligt. Anledningen till att det står exempeldesign är för övrigt för att följa kommunens eget obligatoriska krav där beställaren förbehåller sig rätten att bestämma vilka portar och protokoll som får köras. Vid en tjänsteupphandling av print finns det inte heller möjlighet att genom ett anbud presentera en komplett teknisk lösning eftersom en sådan alltid måste implementeras och anpassas i förhållande till den IT-miljö som råder hos den upphandlande myndigheten.
Kommunen anförde i huvudsak följande. Efter att kommunen fastställt att Konica och dess anbud uppfyllt samtliga kvalificeringskrav i upphandlingen gick anbudet vidare för prövning av de obligatoriska kraven. Kommunen bedömde att dessa var uppfyllda varför anbudet gick vidare till utvärdering. Konica bjöds in till en intervju och anbudsgenomgång där flera representanter från både kommunen och Konica deltog. Vid genomgången tillfrågades en av Konicas representanter om betydelsen av texten ”Scan to FTP”, en text som återfinns i en skiss över exempeldesign för kommunen. På frågan om scanning-funktionen till FTP stöder något krypterat format såsom SFTP eller FTPS svarade representanten nej. För att klargöra svaret frågade en av kommunens representanter om det då var korrekt uppfattat att lösningen för scanning-funktionen till FTP innebär att lösningen sker i klartextformat och inte i krypterat format i enlighet med upphandlingens obligatoriska krav i avsnitt 8.21. Svaret på frågan var ja. Konica presenterade inte någon exakt teknisk lösning i fråga om portar och protokoll och visade vid anbudspresentationen således inte att säkerhetskravet i avsnitt 8.21 uppfylls. I syfte att säkerställa att kommunen uppfattat uppgifterna i anbudet och den information som lämnades vid anbudsgenomgången rätt gavs Konica möjlighet att skriftligen bekräfta vilka portar och protokoll som bolagets lösning innefattade. Kommunen fick då en förtydligande lista över vilka portar och protokoll som används i Konicas lösning. Av listan framgår att det är obligatoriskt med datakommunikation via port 21 över protokollet FTP. Någon hänvisning till att kommunikation kan eller ska köras på alternativt protokoll finns inte. Det framgår inte heller av listan i övrigt att denna kommunikation ska ske på ett annat sätt och därmed krypterat. Med anledning av detta bedömdes anbudet inte uppfylla de obligatoriska kraven i avsnitt 8.21 eftersom samtliga inloggningsvägar på hård- eller mjukvara i system oavsett protokoll ska vara lösenordsskyddade och anslutningen krypterad. Att en eller flera inloggningsvägar i systemet uppfyller kraven är således inte tillräckligt. Konica har inte vid något av de angivna tillfällena visat att kravet i avsnitt 8.21 är uppfyllt och att samtliga inloggningsvägar på hård- eller mjukvara i system oavsett protokoll är lösenordsskyddade och anslutningen krypterad. Att Konica senare, efter att tilldelningsbeslut meddelats, har förtydligat att endast port 443 och protokollet WebDav/HTTPS är aktuellt att använda saknar betydelse eftersom kommunen för att uppnå likabehandling endast får beakta det som faktiskt framgår av ett anbud.
Förvaltningsrätten i Härnösand avslog ansökan om överprövning.
Förvaltningsrätten konstaterade att även om det i målet nu i efterhand var ostridigt att protokollet WebDav/HTTPS och port 443 kunde användas för lösenordsskyddad inloggning och krypterad anslutning så framgick det dock inte av Konicas anbud vid tidpunkten för utvärderingen att kravet i avsnitt 8.21 uppfylldes. Konica hade senare, efter att tilldelningsbeslut meddelats, förtydligat hur kravet uppfyllts. För att likabehandling skulle uppnås fick dock endast det som faktiskt framgick av ett anbud beaktas. Att Konica i efterhand kompletterat sitt anbud med ytterligare förtydligande innebar enligt förvaltningsrättens bedömning inte att anbudet vid tidpunkten för utvärderingen uppfyllde det obligatoriska kravet.
Konica överklagade och tillägger bl.a. följande till vad som anförts i underinstansen. Det har i överprövningsprocessen blivit tydligt att det är ostridigt att Konicas offererade lösning uppfyller säkerhetskravet i 8.21 i upphandlingsdokumentet. Samtliga omständigheter och fakta kring Konicas offererade lösning framgår av det inlämnade anbudet. Konica har inte angett någon ny information eller på annat sätt ändrat eller kompletterat innehållet i anbudet i samband med överprövningsprocessen. I upphandlingen har det inte ställts krav på att anbudsgivare ska bevisa eller beskriva att eller hur aktuellt säkerhetskrav uppfylls. Vid tvekan om eller hur Konicas offererade lösning uppfyller kravet 8.21 hade kommunen kunnat begära dokumentation kring uppfyllandet av just det kravet. Att kommunen inte gjort det ska inte ligga Konica till last. Konica mottog utvärderingsprotokollet och tilldelningsbeslutet med stor förvåning eftersom frågan om bolagets anbud uppfyllde kraven i 8.21 var en icke-fråga för bolaget då anbudet redan kvalificerats, dvs. kommunen hade gjort bedömningen att bolaget uppfyllde samtliga obligatoriska krav. Någon särskild tvekan kring detta krav framfördes aldrig av kommunen och Konica har i anbudet angett att ”kravet uppfylls”. Konica har således vid tidpunkten för utvärdering objektivt uppfyllt aktuellt säkerhetskrav.
Kammarrätten i Sundsvall mål nr 639-19 ändrade förvaltningsrättens dom och beslutade att upphandlingen fick avslutas först efter att rättelse skett på så sätt att Konica Minolta Business Solutions Sweden Aktiebolags anbud skulle utvärderas.
I domskälen uttalades följande.
”Konica har, i enlighet med de instruktioner som framgår i upphandlings föreskrifterna, intygat att bolaget uppfyller kraven i upphandlingsdokumentets punkt 8.21. Något krav på att en anbudsgivare ska bevisa att eller beskriva hur de aktuella kraven uppfylls finns inte i denna punkt.
Kammarrätten kan således konstatera att Konica intygat att bolaget uppfyller kraven i 8.21. Vid tvekan från kommunens sida har det ankommit på kommunen att, enligt punkten 3.8 i upphandlingens administrativa föreskrifter, inhämta bevis som styrker uppfyllande av ställda krav. Det är något som kommunen inte har gjort. Att kommunen efter anbudsgenomgång gett Konica möjlighet att skriftligen bekräfta vilka portar och protokoll som bolagets lösning innefattar är inte tillräckligt för att bolaget ska ha förstått att kommunen ville veta om kraven i upphandlingsdokumentets 8.21 var uppfyllda. Det kan inte heller ha ankommit på Konica att självmant lämna in bevisning eller beskrivning av ställda krav då det inte framgår av upphandlingsdokumenten att så ska ske. Kommunen har därmed inte haft rätt att på denna grund diskvalificera Konicas anbud.
Av utvärderingsprotokollet framgår att Konicas anbudspris varit lägre än övriga anbudsgivares priser. Förfarandet har därmed medfört att Konica i vart fall riskerat att lida skada. Det finns därmed skäl för ingripande enligt LOU. Den konstaterade bristen har inte påverkat upphandlingens konkurrensuppsökande skede. Kammarrätten anser därför att rättelse genom ny utvärdering där Konicas anbud ska ingå är en tillräcklig åtgärd. Konicas överklagande ska således bifallas.”