Av advokatene Arve Føyen og Birgitte Araldsen. Simonsen Føyen Advokatfirma DA. Oslo, 16. desember 2004

Transkript

1 Juridiske og organisatoriske problemstillinger knyttet til etablering av ordninger for forvaltning av elektronisk ID (e-id) og løsninger for elektronisk signatur (e-signatur) til bruk ovenfor offentlig forvaltning Av advokatene Arve Føyen og Birgitte Araldsen Simonsen Føyen Advokatfirma DA Oslo, 16. desember 2004

2 Innholdsfortegnelse: 1. Bakgrunn og formål Rettslige rammevilkår Hjemmel for en godkjenningsordning - Lov om elektroniske signaturer 5, forvaltningsloven 15a og eforvaltningsforskriften Krav til bruk av sikkerhetstjenester og produkter eforvaltningsforskriften Økonomiske forhold knyttet til etablering og bruk av sikkerhetsløsninger Noen relevante problemstillinger i forhold til anskaffelsesregelverket Kan kravspesifikasjonen begrenses til kun å omfatte PKI? Vare- og/eller tjenesteanskaffelse Rammeavtaler generelt og parallelle rammeavtaler spesielt Godkjenningsordning? Direktivets krav til en godkjenningsordning Godkjenningens innhold og varighet Organisering Andre forhold knyttet til en godkjenningsordning Alternative ordninger Samtrafikk Avtalemodeller Avtalemodeller i forholdet mellom offentlig sektor og privatpersoner Avtalemodeller i forholdet mellom offentlig sektor og private virksomheter Avtalemodeller mellom forskjellige organer innenfor offentlig sektor

3 1. Bakgrunn og formål Som ledd i arbeidet med å utvikle forvaltningen til å bli mer tilgjengelig, brukervennlig og effektiv er det viktig å legge til rette for sikker og effektiv elektronisk kommunikasjon med og i forvaltningen. Elektronisk ID og elektroniske signaturer er virkemidler i dette arbeidet. Elektronisk ID innebærer at man kan få bekreftet avsenders identitet og/eller fullmakter (autentisering). En elektronisk signatur vil på visse vilkår innebære at en disposisjon gjennomført elektronisk vil få samme rettsvirkninger som om den var påført en underskrift. Bruk av e-id og e-signatur gir muligheter for en betydelig utvidelse av anvendelsesområdet for elektronisk kommunikasjon i forvaltning, både i forholdet mellom forskjellige forvaltningsorganer, i forholdet mellom forvaltningsorganer og private virksomheter, og i forholdet mellom forvaltningsorganer og privatpersoner. Ved bruk av begrepet forvaltningen/forvaltningsorgan i dette notatet menes offentlig sektor, både på statlig, fylkeskommunalt og kommunalt nivå. Vi har på oppdrag fra Moderniseringsdepartementet i dette notatet sett nærmere på juridiske og organisatoriske problemstiller knyttet til etablering av ordninger for forvaltning av e-id og løsninger for e-signatur til bruk overfor offentlig forvaltning. Notatet er innspill til Arbeidsgruppen for PKI i offentlig sektor. Det er noen sentrale hensyn som det er viktig å ivareta ved etablering av ordninger for e-id og e-signatur i offentlig sektor. Vi har i denne utredningen lagt vekt på følgende sentrale hensyn: Sikkerhet - løsningene må være tilstrekkelig sikre i fh t tiltenkt bruk Konkurranse det er ønskelig å opprettholde og evt. bidra til å utvikle konkurransen i markedet for sikkerhetsløsninger Brukervennlighet løsningene bør være enkle å ta i bruk og enkle å benytte. Evt. betaling for brukerne kan bli ansett som lite brukervennlig og hindre utbredelsen. Flerbruk den e-id som en bruker anskaffer bør kunne benyttes i flest mulige relasjoner, både i forhold til det offentlige og i forhold til private virksomheter Økonomi de etablerte løsningene må være økonomisk akseptable for alle involverte Disse hensynene er til dels motstridende. Hensynene til brukervennlighet, flerbruk og konkurranse tilsier at flest mulige løsninger skal kunne brukes i forbindelse med elektronisk kommunikasjon i og med forvaltningen. Dette kan tale imot å velge én leverandør basert på en konkurranse om hvilken løsning som er den økonomisk mest fordelaktige. En slik konkurranse vil normalt være best egnet for å ivareta økonomiske hensyn. Regelverket for offentlige anskaffelser tar også utgangpunkt i konkurranse mellom leverandørene. Aveiningen av det ulike hensynene er en politisk avgjørelse. I parallell med denne utredningen forbereder Moderniseringsdepartementet en forvaltningspolitisk utredning hvor interesseavveininger og kost/nytte-vurderinger vil stå sentralt. Både denne juridiske utredningen og Moderniseringsdepartementets - 3 -

4 forvaltningspolitiske utredning vil være med å danne grunnlag for Arbeidsgruppens anbefalinger. Aktuelle løsninger for etablering av e-id og e-signatur i offentlig forvaltning kan være opprettelse av en godkjenningsordning og/eller inngåelse av en eller flere avtaler eller rammeavtaler. Formålet med en godkjenningsordning vil være å fastslå hvilke løsninger som tilfredsstiller offentlig sektors krav innenfor definerte sikkerhetsnivåer. Før de godkjente løsningene kan tas i bruk i forvaltningen, må det inngås nødvendige avtaler. Dette kan tenkes gjort ved at det enkelte organ inngår avtale med en eller flere leverandører. Alternativt kan flere er inngå felles avtaler eller det kan inngås rammeavtaler som større eller mindre deler av offentlig sektor kan benytte seg av. En godkjenningsordning kan bidra til å forenkle arbeidet i tilknytning til inngåelse av avtaler, da de godkjente løsningene tilfredsstiller grunnleggende krav for bruk i offentlig sektor. Dersom det ikke etableres noen godkjenningsordning må det i tilknytning til hver enkelt avtale sikres at den/de aktuelle løsningene tilfredsstiller offentlig sektors krav innenfor det aktuelle sikkerhetsnivået. Dette notatet gir en nærmere vurdering av de ulike modellene som her er skissert. Det er utarbeidet en funksjonell kravspesifikasjon datert , som etter sin egen ordlyd skal legges til grunn for tilbudsforespørsler fra offentlige organer for anskaffelse av PKI til bruk i forbindelse med elektronisk kommunikasjon med og i offentlig sektor (heretter Kravspesifikasjonen ). Vår forståelse er at Kravspesifikasjonen skal benyttes både ved rammeavtaler og ved avtaler som inngås direkte mellom en leverandør og en eller flere er i fellesskap. Kravspesifikasjonen er også utarbeidet med tanke på å kunne bli lagt til grunn for en evt. godkjenningsordning, se pkt 2.1 Ved henvisninger i dette notatet til Kravspesifikasjonen menes nevnte dokument. I konkrete utlysninger vil det være behov for å ta med avgrensninger og tilleggskrav i forhold til Kravspesifikasjonen for å få nødvendig spesifikasjon i forhold til den konkrete løsningen som skal anskaffes. 2. Rettslige rammevilkår I forhold til problemstillingene knyttet til godkjenningsordning og avtaler for etablering av løsninger for e-id og e-signatur i offentlig sektor, er følgende regelverk særlig sentralt: Lov nr 81 om elektronisk signatur Direktiv 1999/93/EF av 13. desember 1999 om fellesskapsramme for elektroniske signaturer Lov om behandlingsmåten i forvaltningssaker (forvaltningsloven) Forskrift nr 988 om elektronisk kommunikasjon med og i forvaltningen (eforvaltningsforskriften) Lov nr 69 og forskrift om offentlige anskaffelser - 4 -

5 I det følgende påpekes enkelte bestemmelser/problemstillinger i dette regelverket som er av betydning i den videre fremstillingen. 2.1 Hjemmel for en godkjenningsordning - Lov om elektroniske signaturer 5, forvaltningsloven 15a og eforvaltningsforskriften 27 Lov om elektroniske signaturer 5 lyder som følger: 5. Krav til kvalifiserte elektroniske signaturer brukt i kommunikasjon med og i offentlig sektor Kongen kan fastsette nærmere regler om hvilke krav som skal stilles til kvalifiserte elektroniske signaturer som skal brukes ved kommunikasjon med og i offentlig sektor. Bestemmelsene er basert på direktiv 1999/93 EF art. 3 nr 7, som omhandler elektroniske signaturer generelt og ikke bare kvalifiserte elektroniske signaturer. I forarbeidene (Ot prp nr ) uttaler Nærings- og handelsdepartementet at bestemmelsen i loven 5 gir anledning til å stille tilleggskrav i forhold til øvrige bestemmelser regulert av loven. På bakgrunn av innspill i høringsrunden bl a om at bestemmelsen ser ut som om det er fritt frem til å gi generelle regler på et meget bredt område, presiserer departementet at direktivets artikkel 3 nr. 7 som bestemmelsene bygger på, legger føringer for hvordan tilleggskravene skal utformes (side 40): Kravene som oppstilles i direktivet må gjelde tilsvarende, slik at eventuelle tilleggskrav må være objektive, klare, forholdsmessige og ikke-diskriminerende, og de skal stilles i forhold til det aktuelle anvendelsesområde og de spesielle behov som her gjør seg gjeldende. Det må altså vurderes særskilt i forhold til det aktuelle anvendelsesområde hvorvidt det er nødvendig med tilleggskrav, ut fra særlige behov som der gjør seg gjeldende. I tillegg fikk forvaltningsloven ved en lovendring som trådte i kraft en ny bestemmelse i 15a vedrørende elektronisk kommunikasjon: 15a. (elektronisk kommunikasjon) Kongen kan gi forskrift om elektronisk kommunikasjon mellom forvaltningen og publikum og elektronisk saksbehandling og kommunikasjon i forvaltningen, herunder nærmere regler om a) hvilken elektronisk adresse eller informasjonstjeneste som skal benyttes, b) signering, autentisering, sikring av integritet og konfidensialitet, c) kvittering for mottak av elektroniske meldinger, d) krav til de produkter, tjenester og standarder som kan benyttes, e) forvaltningens rett til å sperre for brukere som misbruker data ment for signering, autentisering, sikring av integritet eller konfidensialitet, og om hva som skal regnes som misbruk

6 Disse bestemmelsen gir således hjemmel for å stille særskilte krav vedrørende e-id og e-signatur i offentlig forvaltning, men ikke i større utstrekning enn hva som er nødvendig ut fra saklig begrunnede behov. Lov om elektroniske signaturer 5 og forvaltningsloven 15a er hjemmelsgrunnlaget for eforvaltningsforskriften. I eforvaltningsforskriften 27 Koordinerende organ, er både vurdering av tilgjengelige sikkerhetstjenester og produkter (evt. i form av en godkjenningsordning) og en ordning med rammeavtaler omhandlet. 27. Koordinerende organ (1) Kongen kan utpeke et organ som har koordineringsansvar for forvaltningens bruk av sikkerhetstjenester og -produkter ved elektronisk kommunikasjon med og i forvaltningen. (2) Koordineringsorganet skal utarbeide krav til sikkerhetstjenester og - produkter som anbefales brukt ved elektronisk kommunikasjon med og i forvaltningen. Koordineringsorganet skal også vurdere om tilgjengelige sikkerhetstjenester eller -produkter tilfredsstiller kravene. (3) Koordineringsorganet kan bestemme at det under tjeneste for forvaltningsorganer kun skal benyttes sertifikater fra sertifikatutstedere som har inngått rammeavtale om levering av slike tjenester til forvaltningen eller som er anerkjent av koordineringsorganet. Koordineringsorganet for PKI ble opprettet høsten 2003 som et kollegialt organ, med medlemmer fra ulike departementer. I henhold til mandatet opererte Koordineringsorganet som et selvstendig fagorgan innenfor rammene av mandatet. Saker av prinsipielle karakter eller politisk viktighet skulle forelegges departementet. Sekretariatsfunksjonen lå hos Moderniseringsdepartementet. I henhold til mandatet burde organet møtes minst 6 ganger pr år. Etter det vi har fått opplyst omfattet imidlertid ikke mandatet de oppgaver som fremgår av 27 nr 2. Dette Koordineringsorganet er imidlertid nedlagt høsten Årsaken til det er at et nytt Koordineringsorgan for e-forvaltning er etablert og skal ha sitt første møte Dette nye Koordineringsorganet har en bredere sammensetning og et bredere mandat enn Koordineringsorganet for PKI. Blant annet er ssjefene til flere store er medlemmer. Koordineringsorganet for e-forvaltning skal bl a se på samordning av offentlige data, arkitekturspørsmål og tjenesteutvikling. e-signatur og autentiseringsspørsmål hører naturlig med i dette organets arbeidsområde, men vi kjenner ikke til om Koordineringsorganet for e-forvaltning også vil få ansvaret for de oppgaver som er angitt i e-forvaltningsforskriften 27. Dersom det opprettes et Koordineringsorgan i henhold til 27 pålegges dette i 27 nr 2 å stille krav til sikkerhetstjenester og produkter som anbefales brukt i forvaltningen og å vurdere om tilgjengelige løsninger tilfredsstiller disse kravene. I Kravspesifikasjonen er det stilt krav og i dokumentet fremgår det, som omhandlet ovenfor, at Kravspesifikasjonen skal benyttes ved inngåelse av avtaler og at den kan benyttes som grunnlag for en godkjenningsordning. Bestemmelsens 2 punktum som pålegger Koordineringsorganet å vurdere om tilgjengelige sikkerhetstjenester eller produkter tilfredsstiller kravene, synes det mest hensiktsmessig å oppfylle i form av en - 6 -

7 godkjenningsordning. Alternativt kunne man tenke seg at Koordineringsorganet skulle godkjenne alle avtaler vedrørende anskaffelse av sikkerhetsløsninger til bruk i forvaltningen, eller at Koordineringsorganet ble involvert i evt. prekvalifiseringer knyttet til anskaffelsesprosessen. Dersom man baserer seg på noen få rammeavtaler vil dette være praktisk mulig å gjennomføre. I tilfelle hver selv skal inngå nødvendige avtaler, vil en slik ordning neppe være praktisk gjennomførbar. I tillegg er det grunn til å fremheve at bestemmelsen pålegger Koordineringsorganet å vurdere tilgjengelige løsninger. I høringsbrevet til den forrige forskriften om elektronisk kommunikasjon i og med forvaltningen av nr 656 som innholdt en likelydende bestemmelse om Koordinerende organ, heter det følgende: Koordineringsorganet skal også vurdere hvorvidt sikkerhetsløsninger som er tilgjengelige i markedet tilfredsstiller de krav organet har stilt. Hensikten er å sikre samvirke mellom løsninger i ulike forvaltningsorgan og å lette anskaffelsesprosessen for det enkelte organ ved å gjøre krav og vurderinger tilgjengelige. Hensikten er også å sikre forvaltningsorganene fleksibilitet og utvikling i markedet ved at det kan velges mellom ulike løsninger. Koordineringsorganet kan også iverksette andre koordinerende tiltak. På denne bakgrunn er det vår oppfatning at ordningen må innebære at alle løsninger som er tilgjengelige i markedet kan søke om å bli vurdert med hensyn til om de tilfredsstiller kravene for bruk med og i forvaltningen. Bestemmelsen kan således gi hjemmel for etablering av en godkjenningsordning. Det er også tenkelig at det kan etableres andre typer av ordninger som innebærer en vurdering av tilgjengelige løsninger i henhold til 27. Etter vårt skjønn vil det ikke være tilstrekkelig etter bestemmelsens ordlyd, eller i overensstemmelse med hensikten slik denne er uttrykt i høringsbrevet, at Koordineringsorganet kun godkjenner de løsningene som har nådd opp i konkurransen om konkrete avtaler med offentlige organer. Etablering av en godkjenningsordning reiser imidlertid en rekke problemstillinger. Direktiv 1999/93 EF omhandler også godkjenningsordninger, se art. 3: Artikkel 3 Markedsadgang 1. Medlemsstatene skal ikke gjøre tilbudet om sertifikattjenester avhengig av forhåndsgodkjenning. 2. Med forbehold for bestemmelsene i nr. 1 kan medlemsstatene innføre eller opprettholde frivillige akkrediteringsordninger med sikte på å tilby bedre sertifikattjenester. Alle vilkår i forbindelse med slike ordninger skal være objektive, klare og forholdsmessige og sikre likebehandling. Medlemsstatene kan ikke begrense antallet akkrediterte tilbydere av sertifikattjenester av årsaker som omfattes av dette direktivs virkeområde. Det vil på bakgrunn av denne bestemmelsen ikke kunne etableres obligatoriske godkjenningsordninger dvs. at godkjenning er et absolutt krav for å kunne levere sikkerhetsløsninger, generelt eller til offentlig sektor. En frivillig ordning åpner - 7 -

8 imidlertid direktivet for. I tilknytning til en konkret anskaffelse kan imidlertid kunden stille krav om at de løsninger som tilbys skal være godkjent. I et forslag til endring av lov om elektroniske signaturer, sendt på høring av Næringsog handelsdepartementet våren 2004, foreslås det en uttrykkelig hjemmel for å etablere en frivillig godkjenningsordning. Dette foreslås tatt inn i loven som en ny 16a, med følgende ordlyd: Ny 16 a Frivillige sertifiserings- eller godkjenningsordninger skal lyde: Departementet kan ved forskrift innføre frivillige sertifiserings- eller godkjenningsordninger. Departementet skal utpeke sertifiserings- eller godkjenningsorgan og kan etablere klageordninger. Departementet kan i forskrift også fastsette gebyr. Gebyrene må ikke overstige kostnadene ved sertifiserings- eller godkjennelsesorganets virksomhet For å sikre at bestemmelsene i forskriften blir gjennomført, kan sertifiseringseller godkjenningsorgan etter første ledd fastsette løpende tvangsmulkt etter utløpet av den frist som er satt for oppfylling av pålegget, inntil pålegget er oppfylt. Organet kan frafalle påløpt tvangsmulkt. Vedtagelsen av lovendringen er utsatt bl a på grunn av arbeidet i Arbeidsgruppen for PKI i offentlig sektor. Høringsfristen er imidlertid utløpt, og bestemmelsen har også vært sendt på EØS-høring Dette innebærer at man her har mulighet for raskt å vedta en uttrykkelig hjemmel for ved forskrift å etablere en frivillig godkjenningsordning. Problemstillinger rundt en godkjenningsordning er nærmere drøftet nedenfor i pkt Krav til bruk av sikkerhetstjenester og produkter eforvaltningsforskriften 4 Det er et prinsipp at elektronisk kommunikasjon mot forvaltninge i utgangspunktet skal kunne skje uten bruk av sikkerhetstjenester og produkter. Dette er uttrykt i 4 i eforvaltningsforskriften: 4. Krav til bruk av sikkerhetstjenester og -produkter mv. ved henvendelser til et forvaltningsorgan (1) Enhver som henvender seg til et forvaltningsorgan ved bruk av elektronisk kommunikasjon i henhold til 3, kan gjøre det uten bruk av sikkerhetstjenester eller -produkter, med mindre bruk av slike sikkerhetstjenester og -produkter er nødvendig for å oppfylle krav fastsatt i henhold til nr. (2)-(3) nedenfor eller følger av 5, eller av krav fastsatt i annen lov eller i medhold av lov. (a) Med sikkerhetstjenester og -produkter menes løsninger for å oppnå bl.a. bekreftelse av partenes identitet eller fullmakter (autentisering), at data ikke utilsiktet eller urettmessig endres (integritet), beskyttelse av informasjon mot innsyn fra - 8 -

9 uvedkommende (konfidensialitet), og at det er mulig å dokumentere henvendelser og aktiviteter og hvem som har sendt eller utført dem (ikke-benekting), og andre løsninger, i henhold til forvaltningsorganets sikkerhetsstrategi, jf. 13. Slike løsninger kan for eksempel være basert på bruk av elektronisk signatur og kryptering. (b) Med elektronisk signatur menes løsninger som definert i lov om elektronisk signatur 3. Med kryptering menes omforming av data slik at de ikke er rekonstruerbare for uvedkommende. Krypterte data skal kunne rekonstrueres ved dekryptering. (c) Med krypteringsnøkkel og dekrypteringsnøkkel menes data som benyttes for henholdsvis kryptering og dekryptering. (2) Forvaltningsorganet kan i det enkelte tilfelle be om opplysninger som bekrefter avsenders identitet eller fullmakter, eller stille krav om at bestemte sikkerhetstjenester og -produkter skal tas i bruk, dersom dette er av betydning for håndtering av henvendelsen. (3) Forvaltningsorganet kan bestemme at krav som nevnt i nr. (2) ovenfor skal gjelde generelt for nærmere angitte typer av henvendelser. Kravene skal være basert på forvaltningsorganets sikkerhetsstrategi, jf. 13. (4) Forvaltningsorganet skal gjøre tilgjengelig sikkerhetstjenester og -produkter som oppfyller de krav forvaltningsorganet har stilt i henhold til nr. (2)-(3) ovenfor eller anvise hvilke løsninger som ellers kan benyttes. Det samme gjelder for sikkerhetstjenester og -produkter som er nødvendig for å oppfylle kravene i 5. I høringsnotatet til gjeldende eforvaltningsforskrift fremgår det at bestemmelsen er noe omformulert i forhold til den forrige forskriften, uten at det tas sikte på innholdsmessige endringer. Prinsippet om at kommunikasjon i utgangspunktet skal skje uten bruk at sikkerhetsløsninger er imidlertid tydeligere uttrykt enn tidligere. Videre heter det følgende: Forvaltningsorganets krav til bruk av sikkerhetsteknikker og produkter skal være gjennomtenkte og grunnet i rettslige krav eller et reelt praktisk behov. Dette er søkt tydeliggjort i (3) ved å henvise til 13, om sikkerhetsmål og sikkerhetsstrategi. Bestemmelsene pålegger det enkelte forvaltningsorgan å ta stilling til helt konkret i hvilke tilfeller sikkerhetsløsninger skal benyttes og hva slags løsning som vil være tilstrekkelig. Både selve beslutningen om at en søknad, melding, innrapportering, oppslag, dokumentutveksling eller annen handling krever en sikkerhetsløsning, og beslutningen om hvilket sikkerhetsnivå som kreves, må begrunnes i et rettslig krav eller et reelt praktisk behov. I og med at hovedprinsippet er at kommunikasjonen skal kunne skje uten bruk av sikkerhetsløsninger, er det viktig at det legges konkrete vurderinger til grunn og at man ikke pålegger bruk av en sikkerhetsløsning for sikkerhets skyld. Kravspesifikasjonen Vedlegg 1 omhandler sikkerhetsnivåer. Her er det også tatt med forslag til anvendelsesområder for sikkerhetsnivåene. Dette er et godt utgangspunkt men for å sikre enhetlig praksis mellom ulike forvaltningsorganer bør det vurderes å - 9 -

10 bearbeide dette videre, slik at forslagene omfatter flere praktiske anvendelsesområder for søknader, meldinger, innrapporteringer, oppslag, dokumentutveksling og andre handlinger i forhold til forvaltningen og innen forvaltningen hvor bruk av elektronisk kommunikasjon er særlig praktisk. Etter vår oppfatning vil dette være et viktig bidrag for å få forvaltningsorganer i gang med å etablere løsninger for e-id og e-signatur og derved indirekte bidra til økt bruk av elektronisk kommunikasjon i og med forvaltningen. Valg av sikkerhetsløsning er for øvrig ingen statisk vurdering da alt sikkerhetsarbeid må pågå kontinuerlig og som en del av dette må hvert enkelt forvaltningsorgan jevnlig vurdere om de praktiserer en riktig bruk av sikkerhetsløsninger. Vedlegg 2 til Kravspesifikasjonen inneholder en vurdering av krav til sikkerhetsnivåer ved elektronisk kommunikasjon med forvaltningen. Her tas det opp flere problemstillinger som belyser kompleksiteten i å fastsette et riktig sikkerhetsnivå. Det heter i notatet som følger: På bakgrunn av dette risikobildet, med angitte begrensede konsekvenser, vil det ved normal forvaltningsutøvelse være tilstrekkelig å stille krav om Person- Standard for identifisering av vedkommende som kontakter forvaltningen. 1 Som et eksempel er det nevnt at det er uvanlig at en person sender inn en søknad om barnehageplass i en annens navn. Vi finner grunn til å stille spørsmålstegn ved om det er grunnlag for å stille krav om bruk av sikkerhetsløsning for søknad om barnehageplass over hodet. Hvis sikkerhetsløsning må benyttes også for denne type disposisjoner hvor det er svært usannsynlig at andre foretar uautoriserte disposisjoner på søkerens vegne, og konsekvensene hvis så skulle skje er beskjedne, vil det etter vårt skjønn bli få tilfeller igjen hvor hovedprinsippet i eforvaltningsforskriften 4 om at bruk av sikkerhetsløsninger ikke er nødvendig ved kommunikasjon med forvaltning, får anvendelse. Krav om bruk av sikkerhetsløsninger vil for mange privatpersoner og private virksomheter kunne fremstå som en barriere for å benytte elektronisk kommunikasjon med forvaltningen. For å ivareta hensynet til brukervennlighet er det derfor et poeng også å se hen til hvordan brukerne vil oppfatte et krav om bruk av sikkerhetsløsning og det fastsatte sikkerhetsnivået. Når brukerne forstår begrunnelsen for kravet og deler oppfatningen om at dette er nødvendig i forhold til den aktuelle handlingen, vil kravet om sikkerhetsløsning kunne bidra til å fremme bruken av elektronisk kommunikasjon i stedet for å bli oppfattet som en barriere. Når det gjelder eksempelet om søknad om barnehageplass mener vi at det bør vurderes om ikke dette er en handling som kan foretas elektronisk uten bruk av e-id eller e- Signatur. Innholdet i søknaden kan imidlertid være av en slik karakter at kryptering bør benyttes, f eks i tilfeller hvor det vedlegges sensitive personopplysninger om helsemessige forhold, som grunnlag for søknad om en prioritert plass. I slike tilfeller må forvaltningen legge til rette for kryptering. Dette er også i tråd med det som har vært uttrykt i foredrag holdt av Statssekretær Eirik Lae Solberg i den senere tid, bl.a. på Høstseminaret Tele og Data i regi av Nortib på Sundvolden den ( Det er liten grunn til å tro at noen ville fake en barnehagesøknad ). 1 Vi forstår det slik at begrepet normal forvaltningsutøvelse ikke skal benyttes og at dette avsnittet derfor vil bli endret i Kravspesifikasjonen. Når dette er gjort må sitatet her endres tilsvarende

11 Det vil være et ansvar for sentrale myndigheters regelverksforvalter på hvert enkelt område å ta stilling til hvilke disposisjoner innenfor deres felt som krever bruk av en sikkerhetsløsning, og i tilfelle på hvilket sikkerhetsnivå. I forhold til konkrete disposisjoner vil ansvaret for at kommunikasjonen foregår med tilstrekkelig sikkerhet, ligge på det enkelte forvaltningsorgan. Vi vil imidlertid anbefale at det i tilknytning til det pågående arbeidet for felles løsninger gjøres nærmere vurderinger i forhold til mye brukte søknader og meldinger som egner seg for elektronisk kommunikasjon. Også for andre disposisjoner i forhold til forvaltningen som utføres i stort omfang, bør det utarbeides konkrete anbefalinger om sikkerhetsløsning bør kreves og i så fall om sikkerhetsnivå. F eks klager over enkeltvedtak, eller begjæringer om dokumentinnsyn, er praktiske disposisjoner hvor det bør gis anbefalinger (se også eforvaltningsforskriften 9 og 10). Her kan imidlertid risikobildet variere ut fra vedtakets eller dokumentenes innhold og det er mulig at generelle anbefalinger derfor ikke kan gis. I så tilfelle bør det gis en anvisning på hvilke forhold forvaltingsorganet som et minimum bør ta i betraktning når beslutninger vedrørende sikkerhetsløsninger skal tas. 2.3 Økonomiske forhold knyttet til etablering og bruk av sikkerhetsløsninger Det er oppgitt å være en målsetting i det pågående arbeidet at bruk av sikkerhetsløsninger ved elektronisk kommunikasjon med forvaltningen helst skal være kostnadsfritt for brukere i privat sektor. I tillegg skal det være forutsigbarhet i driftskostnader for både brukere og forvaltningen. I de forarbeider og utredninger som vi har sett på har vi funnet lite om hvordan disse målsettingene skal nås i praksis. Det synes imidlertid hensiktmessig å skille mellom investeringskostnader og brukskostnader. Teoretisk sett kan de økonomiske vurderingene stille seg forskjellig i tilfelle der elektronisk kommunikasjon med bruk av pålagt sikkerhetsløsning er eneste mulighet for kommunikasjon med et forvaltningsorgan, i forhold til en situasjon der elektronisk kommunikasjon er ett av flere alternativer. I dag er det foreløpig ikke vanlig at et forvaltningsorgan vil pålegge bruk av elektronisk kommunikasjon som eneste kommunikasjonsform i forhold til private virksomheter og privatpersoner. Dette ville neppe heller vært i samsvar med forvaltningslovens krav til forsvarlig saksbehandling. I eforvaltningsforskriften er det også krav om særskilte samtykke før enkelte disposisjoner fra det offentlige kan gjennomføres elektronisk, se bl a 8.1 vedrørende underretning om enkeltvedtak. Det er imidlertid en utvikling på gang, og i utkastet til ny tvistelov er det tatt inn forslag om pålagt bruk av elektronisk kommunikasjon mellom profesjonelle parter (bl a domstolene, påtalemyndigheten og advokater). Denne loven er planlagt å tre i kraft fra Vi vil likevel i det følgende legge til grunn at elektronisk kommunikasjon med det offentlige pr i dag er en av flere kommunikasjonsformer. Det vil ikke være aktuelt for det offentlige å dekke kostnader til generell maskinvare, programvare, internett-abonnement etc som er nødvendig for at en privatperson skal være i stand til å kommunisere elektronisk. Denne type investeringskostnader må

12 private borgere og virksomheter dekke selv. Dette notatet omhandler bruk av sikkerhetsløsninger som vil muliggjøre elektronisk kommunikasjon med og i forvaltningen i langt større omfang. Investeringskostnaden og brukskostnadene antas å være forholdsvis beskjedne. Et av hovedformålene med elektronisk kommunikasjon med og i forvaltningen er å oppnå effektiviseringsgevinster i den offentlige saksbehandlingen. Etablering av sikkerhetsløsninger som vil øke utbredelsen av elektronisk kommunikasjon antas å bidra til betydelige gevinster. På denne bakgrunn vil det være rimelig at offentlig sektor selv dekker kostnadene knyttet til de sikringstiltak som forvaltningen vurderer som nødvendige. Her kan det være grunn til å skille mellom privatpersoner og private virksomheter, da det for virksomhetene også er grunn til å regne med visse effektiviseringsgevinster på deres side knyttet til økt elektronisk kommunikasjon med det offentlige. Et annet hensyn er at det er grunn til å anta at krav om betaling fra brukerne vil oppfattes som lite brukervennlig og forsinke utbredelsen i forhold til om alle sikkerhetsløsninger var gratis både i etablering og bruk. Videre finner vi grunn til igjen å peke på bestemmelsen i eforvaltningsforskriften 4 Krav til bruk av sikkerhetstjenester og produkter mv. ved henvendelser til et forvaltningsorgan - eforvaltningsforskriften 4 nr 4 lyder som følger: (4) Forvaltningsorganet skal gjøre tilgjengelig sikkerhetstjenester og -produkter som oppfyller de krav forvaltningsorganet har stilt i henhold til nr. (2)-(3) ovenfor eller anvise hvilke løsninger som ellers kan benyttes. Det samme gjelder for sikkerhetstjenester og -produkter som er nødvendig for å oppfylle kravene i 5. Å gjøre tilgjengelig kan forstås slik at sikkerhetstjenestene og - produktene også skal være vederlagsfrie. Vi kan ikke se at vederlagsspørsmålet er adressert i høringsnotatene til denne bestemmelsen, verken til den forrige eller til den nåværende forskriften. Vi har også fått opplyst at det ikke var meningen å regulere vederlagsspørsmålet i denne bestemmelsen. Det kan derfor være for vidtrekkende å tolke bestemmelsen dit hen at det offentlige må dekke både etablerings- og driftsomkostninger for bruk av sikkerhetsløsninger. Men dersom bestemmelsen likevel må forstås slik at sikkerhetsløsningene skal være vederlagsfrie, finner vi grunn til å peke på at bestemmelsen gjelder i forhold til enhver som henvender seg til et forvaltningsorgan. Det vil i så tilfelle derfor ikke være grunnlag i denne bestemmelsen for å tilby sikkerhetsløsninger vederlagsfritt til privatpersoner, men mot vederlag til private virksomheter. Ut fra drøftelsen ovenfor kan vi ikke konkludere med at etablering og bruk av sikkerhetsløsninger i enhver sammenheng må være gratis for privatpersoner og private virksomheter. Dette har heller ikke vært praksis. F eks i helsesektoren har legekontorene selv måttet betale kostnader knyttet til de sikkerhetsløsninger som har vært pålagt for å bli tilknyttet nasjonalt helsenett, men tilskuddsordninger finnes. Når Lånekassen nå skal ta i bruk PKI for signering av gjeldsbrev, må studentene selv dekke kostnadene til anskaffelse av kort og kortleser. Dette vil være en engangs etableringskostnad da sikkerhetsløsningen vil være vederlagsfri i bruk for studentene

13 Vi har ikke vurdert i hvilken utstrekning det på ulike forvaltningsområder kan foreligge hjemmel for offentlig sektor til å pålegge private å dekke de kostnader som er forbundet med oppfyllelse av rapporteringsplikter og andre krav til samhandling. Dette vil særlig være aktuelt i forhold til private virksomheter som har mer omfattende forpliktelser i så henseende. Etter vår oppfatning vil de økonomiske forholdene ha betydning for utbredelse av løsningene. Vi vil derfor anbefale at det gjennomføres en kost-/nyttevurdering av flere scenarier med ulik grad av kostnadsdekning fra det offentliges side. Samtrafikk mellom alle leverandører av sikkerhetsløsninger hvor det er aktuelt med en samhandling er en målsetting og et viktig virkemiddel for å ivareta hensynene til brukervennlighet, flerbruk og konkurranse. Hvilke kostnader krav om samtrafikk vil medføre, og vurdering av ulike modeller for prising av samtrafikk, bør også inkluderes i en økonomisk utredning. De økonomiske forholdene, bl a knyttet til samtrafikk, har også betydning ved vurdering av hvilke avtalemodeller som skal etableres. Dette gjelder både de totale kostnadene knyttet til etablering og drift av løsningene, samt prisstrukturen. Er det mulig å oppnå en fast pris for etablering og deretter en fast pris pr år for hele eller deler av offentlig sektor? Er en abonnementspris pr en egnet prismodell eller vil kanskje transaksjonsprising gi de økonomisk sett mest gunstige avtalene? Ofte vil hensynet til forutberegnelighet med hensyn til kostnadene stå i motstrid til en transaksjonsmodell hvor enhetsprisen kan være svært lav mens de totale kostnadene er svært vanskelig å anslå. Etter vår vurdering er det behov for en bredere utredning av økonomiske forhold, herunder av forskjellige prismodeller, som et ledd i arbeidet med å utvikle egnede avtalemodeller. Videre er det et spørsmål om økonomiske forhold skal tas med i en evt. godkjenningsordning. Som omhandlet ovenfor i pkt 2.1 vedrørende lov om elektroniske signaturer 5, må de tilleggskrav som stilles for bruk i offentlig sektor være objektive, klare, forholdsmessige og ikke-diskriminerende. Videre må kravene stilles i forhold til det aktuelle anvendelsesområde og de spesielle behov som her gjør seg gjeldende. I og med at godkjenningsordningen må være frivillig kan det ikke stilles konkrete økonomiske krav i forbindelse med en godkjenning. Mer generelle krav knyttet til det økonomiske, som f eks at løsninger til det offentlige i pris skal være konkurransedyktige med leverandørens ytelser til privat sektor, og at leverandøren skal kunne tilby ulike prismodeller, må kunne stilles som vilkår for å bli vurdert til å tilfredsstille kravene for bruk med og i forvaltningen. Man kan f eks tenke seg at det i søknadsskjemaet er angitt ulike prismodeller og at leverandøren krysser av for hvilke han kan tilby. 2.4 Noen relevante problemstillinger i forhold til anskaffelsesregelverket Anskaffelsesregelverket må selvsagt følges i forhold til alle anskaffelser av sikkerhetsløsninger og tilknyttede produkter og tjenester. Dette innebærer bl a at anskaffelser over terskelverdiene må utlyses i hele EØS-området. I dette punktet vil vi kort peke på tre problemstillinger av betydning i forhold til anskaffelsesregelverket

14 Kan kravspesifikasjonen begrenses til kun å omfatte PKI? Gjelder det anskaffelser av varer og/eller tjenester? Bruk av rammeavtaler og særlig parallelle rammeavtaler Kan kravspesifikasjonen begrenses til kun å omfatte PKI? I Kravspesifikasjonen pkt 1.1 heter det i første setning: Dette dokumentet er en overordnet, funksjonell kravspesifikasjon for anskaffelse av PKI (Public Key Infrastructure) til bruk i forbindelse med elektronisk kommunikasjon med og i offentlig sektor. Vi kan ikke se at PKI er definert nærmere i dokumentet, men i Ot.prp nr 82 ( ) Lov om elektronisk signatur er begrepet forklart på følgende måte (fotnote nr 3 på side 12): Public Key Infrastructure (PKI) er en samling infrastrukturer (datasystemer, distribusjonssystemer og rutiner) som eksisterer med det formål å generere, tilbakekalle, sende ut og på andre måter håndtere offentlige nøkkelsertifikater. På denne bakgrunn finner vi grunn til å reise problemstillingen om PKI er å anse som en bestemt teknologi? I så tilfelle kan det være problematisk i forhold til anskaffelsesregelverket å spesifisere i dokumentasjonen som legges til grunn for utlysningen og konkurransen at det er PKI som skal anskaffes. Utgangspunktet for problemstillingen er de grunnleggende krav til offentlige anskaffelser i Lov om offentlige anskaffelser 5. Følgende fremgår av lovens 5 4. og 5 ledd: Utvelgelse av kvalifiserte anbydere og tildeling av kontrakter skal skje på grunnlag av objektive og ikke diskriminerende kriterier Oppdragsgiver skal ikke: b. bruke standarder og tekniske spesifikasjoner som et virkemiddel for å hindre konkurranse I forskrift om offentlige anskaffelser 5-1 nr 1a) vedrørende krav til konkurransegrunnlaget, er det spesifisert at: Anskaffelsen bør spesifiseres ved en behovsspesifikasjon eller angivelse av funksjonskrav. Forholdet er videre regulert i forskrift om offentlige anskaffelser 5-2 Bruk av tekniske spesifikasjoner og er utviklet videre i EU-retten. Forskriften 5-2 nr 2 anser vi som særlig relevant i denne saken: 5-2. Bruk av tekniske spesifikasjoner

15 (2) Det kan ikke benyttes tekniske spesifikasjoner som omtaler varer av et bestemt fabrikat eller opprinnelse, eller angir en særlig produksjonsmetode, dersom dette favoriserer enkelte foretak. En slik spesifikasjon kan likevel foretas når kontraktsgjenstanden berettiger det. Det er heller ikke tillatt å angi varemerker, patenter eller typer. Kan kontraktsgjenstanden ikke beskrives tilfredsstillende på annen måte, er det likevel tillatt å bruke slik angivelse når den er ledsaget av ordene «eller tilsvarende». Selv om denne bestemmelsen omhandler varer i første punktum, er ikke bestemmelsen og prinsippene som ligger til grunn for denne avgrenset mot tjenestekontrakter. I sak 2003/93 har KOFA forutsatt at forskriften 12-2 nr 2 som har den samme ordlyden men gjelder for anskaffelser etter kap III (under terskelverdiene og uprioriterte tjenester), har relevans i en sak som gjaldt tjenesten kjemikaliefri slamtømming. Det vises også til definisjonene i forskriften 1-4 p) som definerer hva som skal anses som tekniske spesifikasjoner for henholdsvis varekontrakter, tjenestekontrakter samt bygge- og anleggskontrakter. Vi finner videre grunn til å peke på at det nye EU-direktivet vedrørende offentlige anskaffelser, art 23 Tekniske spesifikasjoner i nr 8 har en nøytral ordlyd: "Med mindre kontraktens gjennstand gjør det berettiget, må de tekniske spesifikasjoner ikke angive et bestemt fabrikat, en bestemt opprindelse eller en bestemt fremstillingsproces." På denne bakgrunn vil vi stille spørsmål om PKI er å anse som en særlig produksjonsmetode eller på annen måte er å anse som en teknisk spesifikasjon som omfattes av bestemmelsene i forskriften 5-2. Er det f eks patenter knytter til deler av en PKI-løsning? Vi har ikke den tekniske kompetansen som er nødvendig for å foreta en kvalifisert vurdering av problemstillingen. Forbudet gjelder i tilfeller hvor bruken av de tekniske spesifikasjonene favoriserer enkelte foretak. Ved vurderingen av om enkelte foretak blir favorisert, vil en de facto favorisering være av betydning, selv om det teoretisk sett vil være mulig for andre å utvikle tilsvarende løsninger. I rettspraksis fra EU-retten har det blitt fremhevet at bestemmelsene retter seg mot tilfeller hvor oppdragsgiver oppstiller krav i den hensikt å velge ut en eller flere bestemte virksomheter. Dersom PKI skulle være basert på elementer som er proprietære vil det etter vårt skjønn klart være en favorisering av de foretak som besitter disse rettighetene. Det må således foretas en vurdering av om avgrensningen til PKI i Kravspesifikasjonen er problematisk i forhold til forskriften nr 2 tillater likevel å benytte tekniske spesifikasjoner når kontraktsgjenstanden berettiger det. Hvorvidt det er særlige forhold ved sikkerhetsløsninger til bruk i og med offentlig sektor som berettiger at det stilles krav om PKI, må derfor også vurderes. Hvis så er tilfelle bør forholdet begrunnes i kravspesifikasjonen. Dersom man kommer frem til at det er eller kan være problematisk å stille krav om PKI, må kravspesifikasjonen omarbeides slik at den blir teknologinøytral før noen anskaffelsesprosess igangsettes. Dette vil gjelde all generell tekst hvor PKI benyttes som begrep. Videre må formulering av alle kravene vurderes. PKI kan likevel benyttes som eksempel, men det må da fremgå at det kun er et eksempel og at alternative teknologier også kan tilbys. I praksis kan dette gjøres ved å benytte begrepet PKI eller tilsvarende. Prinsippet om teknologinøytralitet gjelder selv

16 om man antar at de aktuelle kravene kun kan oppfylles ved PKI. Svært forenklet kan man si at teknologivalget ikke skal avgrenses i tilbudsforespørselen, men avgjøres på grunnlag av de tilbudene man får fra markedet. Vi vil også peke på at prinsippet om teknologinøytralitet er uttrykt i fortalen til direktiv 1999/93 EF pkt 8: Den raske teknologiske utviklingen og Internetts globale karakter gjør det nødvendig å velge en framgangsmåte som åpner for forskjellig teknologi og forskjellige tjenester som muliggjør elektronisk autentisering av data. Det kan nevnes at denne problemstillingen har vært relevant i Justisdepartementets nødnettprosjekt. I utgangspunktet vurderte man da en utlysning basert på teknologien TETRA. Etter en grundig vurdering av forskriftens bestemmelser om bruk av standarder og tekniske spesifikasjoner, og praksis fra EU i tilknytning til tilsvarende bestemmelser i direktivene om offentlige anskaffelser, kom man frem til at utlysningen måtte være teknologinøytral. Anskaffelse av et nødnett, slik denne nylig er gitt tilslutning til fra Stortinget, vil derfor skje ut fra en teknologinøytral kravspesifikasjon, der TETRA er benyttet som referanseteknologi på enkelte punkter Vare- og/eller tjenesteanskaffelse Kravspesifikasjonen bruker begrepet løsning eller produkter og tjenester. Forskrift om offentlige anskaffelser skiller mellom varekontrakter og tjenestekontrakter og definerer dem som følger i 1-4: b. varekontrakt: kontrakt som omhandler kjøp, avbetalingskjøp, leasing eller leie med eller uten rett til kjøp av varer. Levering av slike varer kan i tillegg omfatte monterings- og installasjonsarbeid. d. tjenestekontrakt: kontrakter som gjelder prioriterte og uprioriterte tjenester angitt i 2-4 (prioriterte tjenester) og 2-5 (uprioriterte tjenester). I Kravspesifikasjonen pkt 2.1 er det listet opp hva en samlet PKI-løsning kan omfatte: En sertifikatutsteder (SA) som utsteder og verifiserer digitale sertifikater En registreringsautoritet (RA) som verifiserer opplysninger som skal inngå i et sertifikat før det utstedes (eller ved utlevering) Katalog og oppslagstjenester Løsninger, for eksempel programpakker, som på en enkel måte gjør PKIfunksjonaliteten tilgjengelig og som kan integreres med Kundens endesystemer Samspill og samtrafikk Etter vår forståelse er dette i all hovedsak å anse som tjenester. Nest siste punkt løsninger, f eks programpakker, vil imidlertid være å anse som varer. Anskaffelser som gjelder både varer og tjenester, skal anses som en varekontrakt dersom verdiene av

17 varene er høyere enn verdien av tjenestene, og som en tjenestekontrakt dersom verdiene av tjenestene er høyest (se forskrift om offentlige anskaffelser 2-6). Ved utlysning av anskaffelse av sikkerhetsløsninger samlet, vil vi anta at verdien av de angitte tjenestene vil være høyest, og anskaffelsen kan da foretas som en tjenestekontrakt. Dette vil også være å anse som prioriterte tjenester, jf 2-4 nr 7 EDB og beslektede tjenester. Det vil således være bestemmelsene for inngåelse av kontrakter om prioriterte tjenester som skal benyttes. Kun i tilfelle hvor anskaffelse av løsninger i form av programpakker eller andre produkter skal finne sted separat, vil det etter vårt skjønn være nødvendig å følge reglene for varekontrakter Rammeavtaler generelt og parallelle rammeavtaler spesielt Det heter i Kravspesifikasjonen at det tas sikte på å inngå en eller flere rammeavtaler med en eller flere tilbydere. Videre er det en uttalt målsetting å utnytte dynamikken og tilbudet i markedet på en samfunnsøkonomisk sett mest effektiv måte, bl a ved å bidra til at konkurransen i markedet opprettholdes. For å ivareta hensynet til brukervennlighet er det forutsatt at den e-id som en bruker vil anskaffe skal gi størst mulig nytte og skal kunne brukes mot flest mulige elektroniske tjenester. For å ivareta disse hensynene vil det etter vårt skjønn være nødvendig at offentlig sektor inngår avtaler med flest mulig av tilbyderne av sikkerhetsløsninger i markedet. Dersom man velger en modell med rammeavtaler, vil dette fort kunne resultere i parallelle rammeavtaler for de sikkerhetsnivåer og løsninger hvor det finnes flere tilbydere. Bruk av rammeavtaler og spesielt parallelle rammeavtaler, innebærer en del utfordringer i forhold til anskaffelsesregelverket. Vi vil i det følgende illustrere hva vi mener med begrepene og hva som er problemstillingene

18 Figur 1: ORDINÆR RAMMEAVTALE Rammeavtale Kunde, feks moderniserings departementet Område: for eksempel autentiseringstjeneste Leverandør Instruksjonsrett, fullmakt Avrop og betaling Avrop og betaling Avrop og betaling Avrop og betaling Avrop og betaling Avrop og betaling Figur 1 illustrerer en ordinær rammeavtale. Rammeavtalen er inngått mellom Kunden (her MOD som eksempel) og Leverandøren. Avrop og betaling skjer imidlertid direkte mellom den enkelte og Leverandøren. De er som skal kunne gjøre avrop under en rammeavtale, må enten være underlagt Kundens instruksjonsmyndighet eller på forhånd ha gitt Kunden fullmakt til å inngå rammeavtalen på ens vegne. Rammeavtalen inngås typisk etter anbudskonkurranse eller evt. forhandlinger i hh t anskaffelsesregelverket, mens det enkelte avrop skjer direkte i forhold til Leverandøren i hh t enkle prosedyrer som fremgår av selve rammeavtalen. Rammeavtalers forhold til anskaffelsesregelverket er imidlertid omstridt. Dette er fordi en rammeavtale typisk vil være en avtale som er ensidig bebyrdende for Leverandøren, men som ikke innebærer noen kjøpsplikt for Kunden. Det er først når det gjøres et avrop under rammeavtalen at det oppstår en forpliktelse for den som har fort avropet og derved et gjensidig bebyrdende kontraktsforhold. Ofte kan også andre enn det forvaltningsorganet som inngikk rammeavtalen (Kunden) være berettiget til å gjøre avrop. Dette kan være er eller organer som er underlagt instruksjonsmyndighet fra det organet som inngikk avtalen. Eller det kan være andre som i forkant av at rammeavtalen ble inngått ga fullmakt til Kunden om å inngå en rammeavtale som også de kan benytte seg av. Det må i tillegg være regulert i rammeavtalen hvem som er berettiget til å gjøre avrop

19 Forskrift om offentlige anskaffelser regulerer gjensidig bebyrdende kontrakter, og det er i slike tilfeller forskriftens regler for inngåelse av kontrakt må følges. Dette innebærer i prinsippet at en rammeavtale som ikke er gjensidig bebyrdende kan inngås uten å følge forskriftens krav, mens alle avrop under rammeavtalen må følge anskaffelsesregelverket. I praksis er det ikke slik rammeavtaler blir brukt i stor utstrekning blir rammeavtaler inngått i henhold til prosedyrene i forskriften, også når de ikke innebærer noen konkret kjøpsforpliktelse for Kunden, og hvert avrop foretas deretter direkte overfor Leverandøren. I Nærings- og Handelsdepartementets veileder til forskriften er problemstillingen omhandlet som følger: Et eksempel på dette vil være at leverandøren forplikter seg til å levere vare A til oppdragsgiver på bestemte vilkår, dersom oppdragsgiver i avtaleperioden ber om det. Oppdragsgiver på sin side kan fritt bestemme om han vil gjøre bruk av denne retten. Dersom det er sannsynlig at rammeavtalen vil bli benyttet, og omfanget av de innkjøp som skal gjøres er tilstrekkelig klart for leverandørene i markedet, vil antagelig rammeavtalen kunne anses for en gjensidig bebyrdende kontrakt. Det vil si at inngåelsen av avtalen skal skje etter regelverkets prosedyrer. De enkelte avropene kan på sin side gjøres uavhengig av regelverket. Både langvarige og svært omfattende rammeavtaler kan bli ansett for å være i strid med det grunnleggende prinsipp om konkurranse om leveranser til det offentlige. Antallet potensielle leverandører kan bli reduserte fordi det i lange perioder er få kontrakter å konkurrere om. I veilederen uttaler derfor NHD at rammeavtaler som en hovedregel ikke bør ha lengre varighet enn 3-4-år

20 Figur 2: PARALLELLE RAMMEAVTALER Rammeavtale Leverandør 1 Kunde, feks moderniserings departementet Instruksjonsrett, fullmakt Avrop og betaling Område: autentiseringstjeneste Avrop og betaling Avrop og betaling Avrop og betaling Avrop og betaling Leverandør 2 Leverandør 3 Kun lovlig uten utlysning av avrop hvis det fastsettes en fordelingsnøkkel mht kjøp fra de ulike leverandørene. Figur 2 illustrerer flere parallelle rammeavtaler. Med dette mener vi tilfeller hvor den samme Kunden har inngått rammeavtale med samme virkeområde med flere leverandører. Rammeavtalen er inngått mellom Kunden (her MOD som eksempel) og 3 forskjellige Leverandører av den samme tjenesten. Avrop og betaling skjer også her direkte mellom den enkelte og den Leverandøren som en foretar avrop hos. De er som skal kunne gjøre avrop under en av rammeavtalene, må enten være underlagt Kundens instruksjonsmyndighet eller på forhånd ha gitt Kunden fullmakt til å inngå rammeavtalene på ens vegne tilsvarende som for en ordinær rammeavtale. Også her er det typisk at alle de tre rammeavtalene inngås etter anbudskonkurranse eller evt. forhandlinger i hh t anskaffelsesregelverket, mens det enkelte avrop skjer direkte i forhold til en av Leverandørene. Det blir hevdet at de aktuelle leverandørene for sikkerhetsløsninger til offentlig sektor har ulike brukerpopulasjoner og at det derfor ikke vil være parallellitet mellom avtalene. Utgangspunktet for å vurdere parallellitet er imidlertid de ytelsene som kunden anskaffer og de kravene som stilles til disse ytelsene. Dvs. at det vil foreligge parallelle rammeavtaler i tilfeller hvor det inngås rammeavtale med flere leverandører basert på de samme funksjonelle krav og med det samme formålet. Formålet vil her være å levere sikkerhetsløsninger på det aktuelle sikkerhetsnivået. Vi kan derfor ikke se at det i denne sammenhengen er relevant at leverandørene har ulik brukerpopulasjon. Spørsmålet er imidlertid så vidt vi kan se ikke adressert i NHD s veiledning tilforskriften eller i juridisk teori