Kammarrätten i Stockholm har nyligen avgjort ett mål som rör en högaktuell fråga inom offentlig upphandling – möjligheten att åberopa ett annat företags certifiering, i detta fall ISO 27001. Domen (mål nr 1534-25) går emot underinstansen och tydliggör att rätten att åberopa annans tekniska och yrkesmässiga kapacitet gäller även certifiering av informationssäkerhet.
Bakgrund
Region Uppsala genomförde en upphandling av ett bemanningssystem. Ett av de obligatoriska kraven var att anbudsgivaren skulle inneha certifiering enligt ISO 27001. Leverantören Avoki Solutions AB saknade denna certifiering, men åberopade istället kapaciteten hos sin underleverantör, Bemalong AB, som innehar certifikatet.
Medlo AB, som deltog i upphandlingen, ansåg att detta var otillåtet och begärde överprövning. Förvaltningsrätten i Uppsala höll med och ansåg att Avoki borde ha uteslutits – eftersom certifieringen är individuell och därmed inte kan “lånas” från annan part.
Kammarrättens bedömning
Kammarrätten gör dock en annan bedömning. Domstolen konstaterar att kravet på ISO 27001-certifiering är att betrakta som ett kvalificeringskrav och faller under kategorin “teknisk och yrkesmässig kapacitet” enligt 14 kap. 6 § LOU. Det innebär att det i normalfallet är tillåtet att åberopa en underleverantörs certifiering, så länge denne faktiskt utför den del av uppdraget som certifieringen avser.
Eftersom Bemalong ska ansvara för den informationshantering som omfattas av certifieringskravet fann kammarrätten att Avoki uppfyllde kravet på ett korrekt sätt. Det fanns heller inget i upphandlingsdokumenten som uttryckligen förbjöd åberopande i just detta fall.
Vad innebär detta för anbudsgivare?
Domen är tydlig med att:
ISO 27001-certifiering kan åberopas från annan aktör, om certifikatinnehavaren faktiskt utför den relevanta delen av kontraktet.
Krav på certifiering kan vara kvalificeringskrav, inte bara “föremål för upphandling”.
Upphandlande myndigheter bör vara tydliga om de avser att begränsa möjligheten att åberopa annans kapacitet.
Slutsats
Detta avgörande är viktigt för både leverantörer och upphandlande myndigheter. För leverantörer innebär det en stärkt möjlighet att använda samarbeten strategiskt. För myndigheter signalerar domen behovet av precision i kravställningen om man vill begränsa åberopande av tredjepartscertifieringar.
Vill du ha stöd i att tolka upphandlingskrav och bedöma om tredjepartscertifieringar kan åberopas i ditt anbud? Vi hjälper dig att navigera rätt.