Elektroniskt informationsutbyte
Informationssäkerhet
Vid informationsutbytet och lagringen av uppgifterna i anslutning till upphandlingsförfarandet ska det säkerställas att uppgifterna är integrerade och att anbudsansökningarna och anbuden hålls konfidentiella.
Den upphandlande enheten ska säkerställa att innehållet i anbuden eller anbudsansökningarna inte avslöjas förrän tidsfristen för att lämna anbud eller anbudsansökningar har löpt ut. Om innehållet i de dokument som anbudssökandena och anbudsgivarna sänder in under upphandlingsförfarandets gång avslöjas för de andra leverantörerna, kan förfarandets icke-diskriminerande karaktär och anbudsförfarandets effektivitet väsentligen äventyras och risker för korruption uppkomma. Det är synnerligen viktigt att anbudssökandena och anbudsgivarna inte får kännedom om innehållet i varandras anbud eller anbudsansökningar innan den tid som reserverats för inlämnandet har gått ut.
Krav på verktyg och anordningar
Verktyg och anordningar för elektronisk mottagning av anbudsansökningar, anbud och planer vid upphandlingsförfaranden och i projekttävlingar ska uppfylla följande krav:
- information om de specifikationer som behövs för elektronisk inlämning av anbud och anbudsansökningar, inbegripet kryptering och tidsstämpling, ska finnas tillgänglig för anbudsgivarna och anbudssökandena,
- exakt dag och tid för mottagande av anbud, anbudsansökningar och inlämnande av planer kan fastställas noggrant,
- ingen har tillträde till de uppgifter som överförts elektroniskt före utgången av de reserverade tidsfristerna för inlämnade av uppgifter,
- endast en person som utsetts av den upphandlande enheten får fastställa eller ändra datum för öppnande av mottagna uppgifter,
- endast en person som utsetts av den upphandlande enheten kan få tillträde till samtliga eller en del av de insända uppgifterna i de olika faserna av upphandlingsförfarandet eller projekttävlingen,
- endast en person som utsetts av den upphandlande enheten får bevilja tillträde till de insända uppgifterna, och först efter det fastställda datumet,
- de uppgifter som mottagits och öppnats enligt kraven är tillgängliga endast för de personer som har utsetts att få kännedom om dem,
- överträdelser av de villkor som anges i 3-7 punkten är klart iakttagbara.
Säkerhetsnivå och risker
Den upphandlande enheten ska specificera den säkerhetsnivå som krävs för de elektroniska medlen för kommunikation som ska användas i olika faser av upphandlingsförfarandet. Säkerhetsnivån ska stå i rätt proportion till de risker som är förknippade med respektive fas i förfarandet. Den upphandlande enheten ska dels bedöma hur man tillräckligt väl kan säkerställa korrekt och pålitlig identifiering av avsändarna i den berörda kommunikationen samt integriteten i innehållet, dels bedöma risken för att meddelanden skickas av en annan avsändare än vad som angetts. Säkerhetsnivån kan variera inom ramen för ett och samma upphandlingsförfarande, till exempel så att en högre säkerhetsnivå krävs för ett anbud än för exempelvis e-post som gäller begäran om bekräftelse av den exakta adressen för ett informationsmöte.
Informationssäkerhetens basnivå
I 5 § i statsrådets förordning om informationssäkerheten inom statsförvaltningen anges kraven på informationssäkerhetens basnivå. För att informationssäkerheten ska tillgodoses ska en statsförvaltningsmyndighet enligt den paragrafen bland annat se till att de informationssäkerhetsrisker som hänför sig till en myndighets verksamhet kartläggs, uppgifterna och ansvaret gällande hanteringen av handlingar anges och olovlig ändring av uppgifterna och annan olovlig eller obefogad hantering förhindras genom ändamålsenliga och tillräckliga säkerhetsarrangemang och andra åtgärder som gäller förvaltningen av användarrättigheterna och övervakningen av användningen samt datanäten, informationssystemen och informationstjänsterna. I förordningen uppställs kompletta ramar för fastställandet av säkerhetsnivån för upphandlingsförfarandena vid upphandlande enheter inom statsförvaltningen.
Ramarna för informationssäkerheten i samband med upphandlingsförfaranden hos andra myndigheter, såsom kommunerna, har fastställts till exempel i
- arkivlagen
- personuppgiftslagen
- lagen om elektronisk kommunikation i myndigheternas verksamhet
- offentlighetslagen och
- informationssamhällsbalken.
I anvisningen om datasäkerhetsnivån för teknisk IT-miljö (VAHTI-anvisning 2/2012), som har utarbetats av ledningsgruppen för datasäkerheten inom statsförvaltningen, finns anvisningar om informationssäkerheten också för företag som står i avtalsförhållande till enheter inom den offentliga förvaltningen.
Elektronisk signatur
Vid upphandlingsförfaranden finns det i allmänhet inte behov av att kräva avancerade elektroniska signaturer eller annan stark autentisering av anbudssökandena eller anbudsgivarna för att garantera säkerheten i samband med förfarandet. När säkerheten kräver det kan den upphandlande enheten i exceptionella fall kräva en avancerad elektronisk signatur av anbudssökandena och anbudsgivarna.
Kommunikationsverket upprätthåller ett offentligt register över aktörer som tillhandahåller en identifieringstjänst och certifikatutfärdare som utfärdar kvalificerade certifikat.