Krav om kompatibilitet med bestemt IT-produkt var (endnu engang) sagligt

Skrevet af

tina johansen Module
Tina Johansen

Senior Associate
Danmark

Jeg er senioradvokat i vores Internationale Public Procurement Group i Danmark med flere års erfaring inden for udbuds- og kontraktret og med speciale inden for IT-retten. Min viden og praktiske erfaring gør mig til det rette valg for offentlige og private organisationer, der søger ekspertise inden for IT-anskaffelser.

thomas larsen Module
Thomas Thorup Larsen

Partner
Danmark

Som partner i vores danske udbudsteam rådgiver jeg offentlige myndigheder og forsyningsvirksomheder med at gennemføre værdiskabende og fleksible offentlige indkøb.

Katja Vollertzen

Legal Advisor
Danmark

Jeg er erhvervsjuridisk rådgiver i vores danske udbudsteam, hvor jeg rådgiver offentlige myndigheder samt virksomheder om udbudsretlige problemstillinger og processer.

Klagenævnet for Udbud har i kendelse af 10. maj 2023, Filial af Trend Micro Emea Limited mod Region Hovedstaden, igen truffet afgørelse om, at konkrete krav om kompatibilitet med ordregivers eksisterende it-miljø, herunder navngivne produkter, ikke var i strid med udbudsreglerne, uagtet at kravet, ifølge Klager, medførte, at der kun kunne leveres produkter fra én bestemt producent. Kendelsen er afgjort med dissens, hvor det sagkyndige medlem udtalte, at Regionen ikke havde løftet bevisbyrden for, at de angivne krav var sagligt begrundede og proportionale.

Kendelsen er tilnærmelsesvis identisk med kendelse af 22. marts 2023, som Bird & Bird tidligere har skrevet om her.

Sagen drejer sig således om de samme parter og de samme forhold, og kendelsen behandles derfor også kun kort i det følgende med fokus på de forskellige nuancer mellem kendelserne.

Interesserede læsere opfordres til at læse den tidligere nyhed.

Faktum

Region Hovedstaden udsendte den 15. november 2022 en opfordringsskrivelse via SKI’s dynamiske indkøbssystem 02.06, Standardsoftware. Indkøbet skulle bestå af licenser til en antivirus-løsning, til regionens 52.000 endpoints (PC-klienter) og 60.000 cloudbrugere.

Af opgavebeskrivelsen fremgik det, at softwaren skulle være kompatibel med Region Hovedstadens eksisterende it-miljø. Derudover var det angivet, at Regionen bl.a. anvendte Palo Alto Networks Next Generation Firewalls og Palo Alto Networks Wildfire sandbox.

Virksomheden Trend Micro (Klager) rettede igen henvendelse til Region Hovedstaden via mail, hvori de anførte, at de heller ikke i dette udbud så sig i stand til at afgive tilbud. Klager anførte, at kravene i opgavebeskrivelsen, om at endpoint-løsningen skulle kunne integreres med eksisterende Palo Alto-software, medførte, at ingen andre end Palo Alto var i stand til at leve op til kravene. Derfor opfordrede Klager til, at Regionen frafaldt de pågældende krav.

Regionen fastholdt kravene, og ved tilbudsfristen havde Regionen modtaget to tilbud, hvoraf tilbuddet fra Conscia Danmark A/S indeholdt produkter af fabrikatet ”Palo Alto”, og tilbuddet fra Atea A/S indeholdt produkter fra Microsoft.

Atea A/S havde anført i sit tilbud, at ”Atea og Microsoft imødekommer de stillede krav ved hjælp af …”. Regionen lagde derfor til grund, at Atea A/S’ tilbud levede op til de stillede krav.

Regionen oplyste hertil, at der ikke blev foretaget en nærmere undersøgelse af, om Atea A/S’ tilbudte produkter levede op til kravene om kompatibilitet, da Regionen ikke er forpligtet hertil, jf. udbudslovens § 159.

Kontrakten blev indgået med Conscia Danmark A/S.

Klagenævnet udtaler

Klagenævnet udtalte, at Region Hovedstadens krav om, at softwaren skulle være kompatibelt med det eksisterende IT-miljø, herunder særligt Palo Alto firewalls, medførte en indsnævring i konkurrencen ved at udelukke en række software-produkter.

Klagenævnet udtalte endvidere, at det følger af fast klagenævnspraksis, at det er ordregivers valg, hvordan kontraktgenstanden skal defineres. Det følger af forarbejderne til udbudslovens § 40, stk. 4, at en ordregiver kan fastsætte sine tekniske specifikationer, således det alene er visse økonomiske aktører, der har adgang til udbuddet, hvis disse krav er saglige. Dog må ordregiver ikke skabe ubegrundede hindringer for konkurrencen eller på anden måde kunstigt indsnævre konkurrencen.

Klagenævnet udtalte i øvrigt, at det ligger fast, at det er ordregiveren, som skal bevise, at de stillede krav er sagligt begrundede og proportionale i forhold til kontraktens værdi og mål.

Klagenævnet afgjorde, at Region Hovedstadens hensyn om at bidrage til øget IT-sikkerhed og minimere risici gennem at bevare og udnytte den eksisterende infrastruktur, herunder firewalls og sandkasseløsning, var en saglig begrundelse, og at Region Hovedstaden derved havde løftet bevisbyrden.

Den dissentierende sagkyndige udtalte, at det forhold, at det endnu ikke var afklaret, om der ud fra den måde, hvorpå kravene var formuleret, reelt kun kunne leveres produkter fra én producent, skærpede kravene til Regionens bevisbyrde, og at denne bevisbyrde ikke var løftet.

Klagenævnets kendelse kan tilgås her.

Bird & Birds kommentar

Som nævnt indledningsvist er kendelsen tilnærmelsesvis identisk med kendelsen af 22. marts 2023, som vedrører et andet og mindre indkøb af 7.000 endpoint-licenser. Vores kommentar til den tidligere kendelse gælder således også her, men der kan tilføjes følgende.

Nærværende kendelse omhandler et væsentligt større indkøb af licenser til 52.000 endpoints (PC-klienter) og 60.000 cloudbrugere end den forrige kendelse, som refereret til ovenfor.

Klagenævnet tager heller ikke i denne omgang stilling til, om indkøbenes størrelse kan have en indflydelse på vurderingen i forhold til, hvorvidt det er proportionalt at stille krav om kompatibilitet med bestemte produkter, her Palo Alto.

Klagenævnet udtaler sig heller ikke om Klagers nye anbringende eller kommentar om, hvorvidt Regionens erklærede mål om at forbedre sin IT-sikkerhed overhovedet står i rimeligt forhold til at stille krav om kompatibilitet med eksisterende Palo Alto produkter, når producenten Palo Alto ikke er en af de førende leverandører på markedet, jf. ”Gartner Magic Quadrant for Endpoint Protection Platforms”.

En noget søgt problemstilling, og det kan da ikke overraske, at hverken Regionen eller Klagenævnet fandt anledning til at kommentere eller udtale sig om denne.

Klagenævnet udtalte sig i øvrigt ikke om, hvorvidt Region Hovedstadens burde have foretaget en effektiv kontrol af oplysningerne om Microsoft produkterne, der blev tilbudt af Atea A/S.

En egentlig pligt til at undersøge rigtigheden af oplysninger i det afgivne tilbud, foreligger imidlertid også alene i de situationer, hvor der er tvivl om, hvorvidt tilbudsgiver opfylder de krav, der er fastsat i udbudsmaterialet.

Ordregiver har et vist skøn ved fastsættelsen af den måde, hvorpå tilbudsgivere i deres tilbud kan godtgøre, at der er lighed mellem de pågældende produkter, og at der ikke i den forbindelse må stilles krav, som går ud over det nødvendige. Der henvises i den forbindelse til EU-Domstolens dom af 12. juli 2018, sag C-14/17, Var og ATM.

Klagers anbringende om, at der alene er én producent, der kan opfylde kravet, ændrer ikke på dette. Klager har dog heller ikke argumenteret nærmere for eller dokumenteret, at de konkrete Microsoft produkter eller andre produkter ikke kunne opfylde kravene.

Klagenævnet manglende stillingtagen til netop dette spørgsmål er derfor heller ikke overraskende. Det må være et kontraktretligt spørgsmål mellem ordregiver og tilbudsgiver – ikke et udbudsretligt, og kontrakten blev, som anført, ikke tildelt Atea A/S.

Det er således fortsat uafklaret, om der praktisk set har været konkurrence om kontrakten mellem de forskellige softwareprodukter, men det er nu heller ikke atypisk eller i sig selv uforeneligt med udbudsretten, at konkurrencen alene finder sted mellem forhandlerne af samme softwareprodukter.

Seneste nyheder

Vis mere

Uklar beskrivelse af fremgangsmåden for evalueringen af tilbudte rabatter førte til annullation af tildelingsbeslutning

nov 21 2024

Læs mere
Region Syddanmark udbudsadvokat

Region Syddanmarks annullering af udbud udfordret ved klagenævnet

okt 11 2024

Læs mere
NIS 2 sikkerhedskrav

Hvad indebærer det nye danske NIS 2 lovforslag – webinar forklarer de centrale juridiske krav

okt 02 2024

Læs mere