Klagenævnet for Udbud har godkendt, at Region Hovedstaden kunne kræve, at en antivirusløsning skulle være kompatibel med regionens eksisterende infrastruktur, herunder navngivne Palo Alto-komponenter. Kravet indsnævrede konkurrencen, men blev anset for sagligt og proportionalt, idet formålet var at styrke IT-sikkerheden og udnytte eksisterende investeringer. Kendelsen er afsagt med dissens.
Retligt udgangspunkt
Ordregiver kan definere kontraktgenstanden og fastsætte tekniske specifikationer, også hvor det i praksis begrænser adgangen for visse aktører, hvis kravene er saglige og proportionale, jf. forarbejderne til udbudslovens § 40, stk. 4. Produkt- eller kompatibilitetskrav må dog ikke skabe ubegrundede hindringer for konkurrencen.
Klagenævnet fremhævede, at bevisbyrden for saglighed og proportionalitet påhviler ordregiver. Der blev henvist til EU-Domstolens praksis om ækvivalens og proportionalitet, herunder sag C-14/17, Var og ATM, hvorefter produktreferencer kan accepteres, når de er objektivt begrundet og ikke går videre end nødvendigt.
Sagens faktum og kendelsen
Regionen gennemførte et indkøb via SKI’s dynamiske indkøbssystem 02.06 af licenser til endpoint-beskyttelse for 52.000 PC-klienter og 60.000 cloudbrugere. Opgavebeskrivelsen krævede bl.a. kompatibilitet med Palo Alto firewalls og WildFire-sandbox. Trend Micro gjorde gældende, at kravene i realiteten favoriserede én producent og udelukkede konkurrence.
Der indkom to tilbud: Conscia med Palo Alto-produkter og Atea med Microsoft-produkter. Regionen lagde uden nærmere undersøgelse til grund, at Ateas løsning opfyldte kravene, idet der ikke forelå konkret tvivl, jf. udbudslovens § 159. Kontrakten blev tildelt Conscia. Klagenævnet fandt, at hensynet til IT-sikkerhed og til at minimere risici ved at udnytte eksisterende infrastruktur udgjorde en saglig begrundelse. Det sagkyndige medlem dissenterede og anså bevisbyrden for ikke løftet, da det ikke var afklaret, om kun én producent reelt kunne levere.
Kendelsen kan læses på Nævnenes Hus’ hjemmeside.
Filial af Trend Micro Emea Limited mod Region Hovedstaden.
Praktiske implikationer
Kendelsen bekræfter, at produkt- eller kompatibilitetskrav kan fastholdes, når de er underbygget af objektive behov som driftssikkerhed, sikkerhedsniveau og omkostningseffektiv udnyttelse af eksisterende løsninger. Samtidig skærpes kravene til dokumentation, hvis markedet i praksis kun rummer én reel leverandør.
Ordregivers kontrolpligt vedrørende opfyldelse af mindstekrav er begrænset til situationer med konkret tvivl. Hvor tilbudsgiver plausibelt redegør for opfyldelse, kan ordregiver som udgangspunkt lægge dette til grund. Følgende anbefalinger kan udledes:
- Dokumentér den sikkerheds- og driftsmæssige begrundelse for kompatibilitetskrav.
- Vurder proportionalitet og overvej ækvivalente løsninger med samme funktionalitet.
- Kortlæg markedet for at belyse, om flere leverandører faktisk kan opfylde kravene.
- Beskriv klare verifikationskrav, men foretag kun nærmere kontrol ved konkret tvivl.
