FOASikkerhet og beredskap i offentlige anskaffelser

9. Innsyn, taushet og skjerming av sikkerhetsinformasjon

9.1 Spenningsfeltet mellom åpenhet og sikkerhet i anskaffelsesprosessen

Anskaffelsesregelverket bygger på en grunnleggende forutsetning om at det offentlige innkjøpet skal la seg kontrollere. Lov om offentlige anskaffelser § 4 slår fast at oppdragsgiveren skal opptre i samsvar med grunnleggende prinsipper om konkurranse, likebehandling, forutberegnelighet, etterprøvbarhet og forholdsmessighet. Etterprøvbarheten er selve bærebjelken for at leverandører, tilsynsmyndigheter og allmennheten skal kunne kontrollere at konkurransen har gått riktig for seg.

Det er verdt å merke seg at bestemmelsen er vedtatt opphevet ved lov 6. mars 2026 nr. 8, men at opphevelsen ennå ikke er trådt i kraft; den avventer en egen kongelig resolusjon. Prinsippene gjelder derfor fullt ut som gjeldende rett.

Etterprøvbarhet forutsetter åpenhet. Men i sikkerhets- og beredskapsanskaffelser står dette hensynet i et grunnleggende spenningsforhold til et annet, like tungtveiende hensyn: behovet for å skjerme informasjon som kan skade nasjonale sikkerhetsinteresser, avsløre sårbarheter i kritisk infrastruktur, eller undergrave en leverandørs beredskapsevne dersom den blir kjent for uvedkommende.

Dette spenningsforholdet er ikke særegent for norsk rett. Det er innbakt i selve konstruksjonen av regelverket, som på den ene siden pålegger innsyn og begrunnelse, og på den andre siden bygger inn unntak for taushetsplikt og sikkerhetsgradering. Rammene for balanseøvelsen finnes i to sentrale bestemmelser i anskaffelsesforskriften: § 7-3 om offentlighet og § 7-4 om taushetsplikt. Disse to bestemmelsene utgjør aksen for dette kapitlet, og de må leses i sammenheng med forvaltningsloven, offentleglova og – for de mest sensitive anskaffelsene – sikkerhetsloven med tilhørende forskrifter.

Kapitlet beveger seg fra det generelle taushetspliktspørsmålet, via innsyn i tilbud og protokoller, til den mest spesialiserte problematikken: sikkerhetsgradert informasjon og skjerming overfor leverandører og konkurrenter.

Kartlegging av skjermingsbehov i strategifasen

Nasjonal sikkerhetsmyndighet (NSM) anbefaler at oppdragsgiver, etter beste evne, gjennomfører kvalifiserte vurderinger av hvilken betydning det som anskaffes kan få for grunnleggende nasjonale funksjoner eller nasjonale sikkerhetsinteresser, herunder potensielt skadepotensial ved bortfall av konfidensialitet, tilgjengelighet eller integritet. Tilsvarende formulering – «etter beste evne» – gjenfinnes i NSMs veiledning om verdivurdering, og understreker at det ikke kreves en fullstendig eller vitenskapelig sikker vurdering, men en forsvarlig og dokumenterbar tilnærming til risikoen.

Denne anbefalingen er ikke en rettsregel, men en faglig standard for hvordan oppdragsgiver bør angripe kartleggingsarbeidet før konkurransen kunngjøres. NSM anbefaler at virksomheten vurderer tilgjengelighet, integritet og konfidensialitet i sammenheng for informasjonssystemer og data, og at sikkerhetstiltak veies mot hverandre ut fra denne helheten. Dette harmonerer med kravet i sikkerhetsloven med forskrifter om forsvarlig sikkerhetsnivå for skjermingsverdig informasjon, som er en rettslig standard oppdragsgiver må ta stilling til når anskaffelsen berører informasjon med beskyttelsesbehov.

NIST anbefaler at virksomheten jevnlig oppdaterer sine antakelser om konsekvenser, slik at de reflekterer hvilken rolle tilgjengelighet, konfidensialitet og integritet i leverandørleverte produkter eller tjenester har for virksomhetens operasjoner, eiendeler og individer. Videre anbefaler NIST at virksomheten med jevne intervaller gjennomgår, forbedrer og oppdaterer sine retningslinjer og prosedyrer for identitets- og tilgangsstyring, slik at kritiske roller i forsyningskjeden og virksomhetens kritiske systemer er identifisert for sporbarhet.

DSB peker på at virksomheter bør ha evne til å avdekke informasjonssikkerhetshendelser, begrense skade og raskt gjenopprette normal drift i registre og systemer med kritisk samfunnsfunksjon og som inneholder taushetsbelagte personopplysninger. Denne anbefalingen retter seg mot beredskapsevnen i bred forstand, men har en direkte side til anskaffelser: den understreker at kravene til den anskaffede løsningen må omfatte evne til å oppdage og håndtere hendelser, ikke bare evne til å forhindre dem.

ENISA legger tilsvarende helhetstenkning til grunn på det tekniske planet, og anbefaler at politikk og prosedyrer for kryptografi dekker mekanismer som digitale signaturer og hash-funksjoner for å beskytte konfidensialitet og integritet for data under overføring og i hvile. ENISA anbefaler dessuten at oppdragsgiver tidlig sørger for samsvar med andre relevante regler og lover om personvern, konfidensialitet og hendelsesrapportering – en påminnelse om at innsyns- og taushetsregelverket ikke eksisterer i et vakuum, men må ses i sammenheng med det bredere regulatoriske landskapet.

EU-kommisjonen anerkjenner uttrykkelig at enkelte kontrakter er så sensitive at det ville være upassende å anvende forsvarsdirektivet, herunder anskaffelser fra etterretningstjenester og andre kjøp som krever et ekstremt høyt nivå av konfidensialitet. Denne erkjennelsen, som er nedfelt i fortalen til direktiv 2009/81/EF, viser at selve regelsystemet inneholder en innebygget elastisitet for de mest sensitive anskaffelsene – en elastisitet som må håndteres med omhu for ikke å underminere hovedreglene om åpenhet og etterprøvbarhet.

9.2 Taushetsplikt etter FOA § 7-4: hva er taushetsbelagt?

Ordlyden og dens rekkevidde

Anskaffelsesforskriften § 7-4 første ledd lyder:

«Ved gjennomføringen av en anskaffelse som er omfattet av forskriften, gjelder reglene om taushetsplikt i forvaltningsloven. For oppdragsgivere som ikke er omfattet av forvaltningsloven, gjelder forvaltningsloven § 13 tilsvarende.»

Bestemmelsen er den sentrale ankerbestemmelsen for taushetsplikt i anskaffelsesretten. Den henter innholdet direkte fra forvaltningsloven, og bygger dermed på en etablert og velutviklet forvaltningsrettslig lære, i stedet for å skape et eget, anskaffelsesspesifikt taushetspliktbegrep.

Forvaltningsloven § 13 første ledd nr. 2 er den bestemmelsen som har størst praktisk betydning i anskaffelsessammenheng. Den verner opplysninger om «tekniske innretninger og fremgangsmåter samt drifts- eller forretningsforhold som det vil være av konkurransemessig betydning å hemmeligholde av hensyn til den som opplysningen angår». Ordlyden stiller to kumulative krav: opplysningen må gjelde drifts- eller forretningsforhold (eller tekniske innretninger og fremgangsmåter), og det må være av konkurransemessig betydning å hemmeligholde den.

Det er dette andre elementet – «konkurransemessig betydning» – som i praksis skaper de vanskeligste grensetilfellene. Ordlyden alene gir en klar kjerne: opplysninger om produksjonsmetoder, kalkyler og forretningsstrategi som konkurrenter kan utnytte, faller klart innenfor. Opplysninger som ikke gjelder drifts- eller forretningsforhold i det hele tatt, faller like klart utenfor. Men i et bredt mellomsjikt – for eksempel tidsangivelser i tilbud, resultater av kvalitetsmålinger, eller den måten et tilbud er strukturert på – gir ordlyden ikke et presist svar uten hjelp fra praksis.

Forretningshemmelighetslovens betydning for grensedragningen

DFØ anbefaler at vurderingen av taushetsplikt fortsatt skal bygge på rammene og praksisen knyttet til forvaltningsloven § 13 første ledd nr. 2, og at tidligere praksis knyttet til denne bestemmelsen kan legges til grunn selv etter at forretningshemmelighetsloven trådte i kraft [LB-2016-69346]. Dette er en viktig avklaring, fordi forretningshemmelighetsloven opererer med en definisjon av forretningshemmelighet som på noen punkter avviker fra den som tradisjonelt er lagt til grunn etter forvaltningsloven.

DFØ presiserer derfor at oppdragsgiver ikke skal legge til grunn at flere opplysninger er taushetsbelagte bare fordi forretningshemmelighetsloven bruker en annen, i utgangspunktet noe videre, definisjon. Det er forvaltningslovens terskel som er styrende for hva oppdragsgiver har plikt til – og adgang til – å holde tilbake.

Metodisk tilnærming: opplysningens art

Metodisk anbefaler DFØ at man ved vurderingen av om en opplysning i et tilbud er taushetsbelagt, først undersøker om opplysningen etter sin art faller innenfor kjerneområdet for taushetsplikt – det vil si om den er av en slik art at andre kan ha nytte av den i sin egen virksomhet, og dermed utgjør en tradisjonell forretningshemmelighet. Denne innfallsvinkelen knytter vurderingen til opplysningens objektive egenart, ikke til om leverandøren selv opplever opplysningen som ubehagelig å dele.

Nettopp dette siste er sentralt: opplysninger som bare er ubehagelige å få kjent, skal som utgangspunkt ikke behandles som taushetsbelagte. DFØ lister opp at opplysninger om økonomisk stilling, administrative forhold, kritikkverdige eller omstridte forhold, lovbrudd, kontakt med offentlige myndigheter og forvaltningsvedtak som gjelder virksomheten, normalt faller utenfor taushetsplikten. Dette er et viktig korrektiv til en intuitiv, men feilaktig, oppfatning om at taushetsplikten er et generelt vern mot ubehagelig offentlighet. Den er det ikke; den er et vern mot at konkurrenter kan utnytte konkrete forretningsmessige fortrinn.

Praksis: hvor går grensen for konkurransemessig betydning?

Når ordlyden alene ikke gir et presist svar på hvor mye som skal til for at en opplysning har «konkurransemessig betydning», må vi vende oss til praksis for å se hvor grensen faktisk trekkes. De tilgjengelige avgjørelsene danner et bilde med tre nokså klare soner: en kjerne av opplysninger som klart er taushetsbelagte, en ytterkant av opplysninger som klart faller utenfor, og en mellomgruppe der utfallet beror på opplysningens konkrete sammenheng og potensial for misbruk.

Borgarting lagmannsrett behandlet spørsmålet i kjennelsen LB-2016-69346, der retten understreket at vurderingen av om noe er en forretningshemmelighet krever en objektiv tilnærming – virksomhetens egen subjektive oppfatning av at opplysningen er sensitiv, er ikke i seg selv avgjørende, selv om den kan tillegges vekt [LB-2016-69346]. Retten stilte opp flere kumulative momenter: opplysningen må være av en viss betydning, den må ikke være allment kjent eller lett tilgjengelig, og det må være naturlig å regne med at virksomheten selv anser den som en hemmelighet.

Saken illustrerer også hvor lav toleranse domstolene har for upresise anførsler om skadepotensial. En begrunnelse for å unnta et helt tilbud fra innsyn, som bare viser til at «helheten» kan tenkes brukt av konkurrenter uten at det angis nærmere hva dette skulle bestå i, er for upresis til å sannsynliggjøre forretningshemmelighet [LB-2016-69346]. Rettssetningen utelukker en praksis der hele tilbudsbesvarelser sladdes eller unntas med en generell henvisning til fremtidig konkurransekraft. Måten informasjon er satt sammen og formulert på, er normalt ikke i seg selv en forretningshemmelighet – hemmelighetsvernet knytter seg primært til innholdet, ikke til strukturen eller presentasjonsformen.

Sivilombudet la i SOM-2021-4928 til grunn en tilsvarende linje, og pekte på at generelle anførsler om at tilbudsoppbygning, struktur eller formuleringer kan gjenbrukes av konkurrenter, ikke er tilstrekkelig grunnlag for hemmelighold [16-069346ASK-BORG]. Det kreves en konkret sannsynliggjøring av at offentlighet kan medføre konkurransemessig tap – det er altså ikke nok å hevde at «konkurrenter kan lære noe» av tilbudet i sin helhet.

Responstider: et praktisk typetilfelle fra lagmannsretten

En avgjørelse som illustrerer grensedragningen på en særlig instruktiv måte, er Eidsivating lagmannsretts kjennelse i LE-2022-77517. Saken gjaldt en anbudskonkurranse gjennomført av Nesodden kommune om en rammeavtale for elektrikertjenester med en anslått verdi på 35 millioner kroner over fire år [LE-2022-77517]. Installatøren Oslo AS, som hadde tapt konkurransen, begjærte midlertidig forføyning for å stanse kontraktsinngåelsen og anførte brudd på anskaffelsesregelverket. Under saksforberedelsen krevde selskapet innsyn i opplysninger om tilbudt responstid ved ordinære oppdrag og hasteoppdrag i syv andre tilbud. Tingretten ga medhold, og kommunen anket.

Lagmannsretten tok utgangspunkt i partenes plikt etter tvisteloven § 21-4 til å opplyse saken, men understreket at denne plikten begrenses av reglene om bevisforbud. Retten avklarte at tvisteloven § 22-10 ikke kom til anvendelse, fordi saken gjaldt forvaltningens lovbestemte taushetsplikt. Det relevante bevisforbudet fulgte i stedet av tvisteloven § 22-3, jf. forvaltningsloven § 13 første ledd nr. 2 og anskaffelsesforskriften § 7-4.

Det sentrale spørsmålet var om opplysninger om tilbudt responstid – angitt i minutter, timer og dager – utgjorde opplysninger det var av «konkurransemessig betydning å hemmeligholde». Lagmannsretten la til grunn at responstider utgjør «drifts- og forretningsforhold» i forvaltningslovens forstand, men fant at kommunen ikke hadde sannsynliggjort at de isolerte tidsangivelsene faktisk kunne utnyttes av konkurrenter i særlig grad. Retten la avgjørende vekt på at opplysningene var løsrevet fra informasjon om hvordan leverandørene faktisk ville oppfylle den lovede responstiden. Det kunne nok være konkurransesensitivt å kjenne til driftsopplegg, logistikk, strategi, ressursbruk eller planlagte ansettelser – men ikke den rene tidsangivelsen alene.

Lagmannsretten avviste også at en mulig senere avlysning av konkurransen kunne være avgjørende for taushetsvurderingen. Selv om konkurransen kunne bli avlyst og utlyst på nytt, betydde ikke kjennskap til tidligere tilbudt responstid at samme responstid nødvendigvis ville bli tilbudt i en ny konkurranse. Retten fant til slutt at opplysningene hadde bevisverdi for den underliggende forføyningssaken, og opprettholdt tingrettens pålegg om innsyn.

Avgjørelsen tegner opp et prinsipielt viktig skille mellom resultatparametere og den underliggende metoden som gjør resultatet mulig. En ren tidsangivelse – «vi kan være der innen fire timer» – sier i seg selv lite om hvorfor leverandøren kan levere innen den fristen, og er derfor vanskelig å utnytte konkurransemessig. Informasjon om driftsopplegget bak leveransen – «vi har tre biler stasjonert i kommunen og vaktordning med to skift» – er derimot langt nærmere kjerneområdet for forretningshemmeligheter, fordi den avslører den kommersielle og organisatoriske modellen som gjør leveransen mulig. For oppdragsgivere er dette en viktig sondring ved sladding: det er de bakenforliggende kalkylene og metodene som typisk krever skjerming, ikke nødvendigvis det ytre resultatet av dem.

Priser: et nøkkeltema i grensedragningen

Prisinformasjon er det mest gjennomgående temaet i praksis om taushetsplikten i anskaffelser. Ordlyden i forvaltningsloven § 13 første ledd nr. 2 omfatter opplysninger om drifts- eller forretningsforhold «som det vil være av konkurransemessig betydning å hemmeligholde». Spørsmålet er i hvilken grad priser i et tilbud oppfyller dette kravet.

Praksis skiller mellom totalpriser og enhetspriser. KOFA-sak 2024/1936 (Vega kommune) er den klareste nyere illustrasjonen av dette skillet [KOFA 2024/1936]. Saken gjaldt en konkurranse om rammeavtaler til kommunens driftstekniske avdeling, der tildelingskriteriet var laveste pris basert på tilbudt timepris. Etter tildelingen sendte Vega kommune ut tildelingsbrev vedlagt åpningsprotokoll og anskaffelsesprotokoll som inneholdt samtlige leverandørers timepriser for alle fagområder, med de to laveste timeprisene per fagområde markert. Alle aktørene fikk dermed kjennskap til konkurrentenes konkrete prisnivå.

Klagenemnda tok utgangspunkt i FOA § 7-4 første ledd, jf. forvaltningsloven § 13, og viste til sin egen tidligere praksis i sak 2020/666 om at enhetspriser og timepriser anses lett å være av konkurransemessig betydning å hemmeligholde. Begrunnelsen er at slike priser er «egnet til å avsløre forretningsmessige forhold» – de avslører i praksis noe om leverandørens kalkyler, marginer og prisstrategi som konkurrenter kan bruke i fremtidige konkurranser.

Klagenemnda presiserte videre at begrunnelsesplikten ikke ga oppdragsgiver noen adgang til å utlevere de taushetsbelagte timeprisene. For anskaffelser etter forskriftens del I er det ikke en selvstendig, formell begrunnelsesplikt i forskriften; en eventuell plikt følger av etterprøvbarhetsprinsippet i lov om offentlige anskaffelser § 4. Men uavhengig av begrunnelsespliktens hjemmel og omfang: klagenemnda uttalte med henvisning til stornemndavgjørelsen i sak 2015/143 at det er mulig å beskrive «rangeringen av prisene» uten å gi opplysninger som gjør det mulig å regne seg frem til konkurrentenes timepriser. Taushetsplikten gjelder altså uavhengig av begrunnelsesplikten, og oppdragsgiver må finne en formidlingsform som ivaretar begge hensyn.

Konklusjonen ble at Vega kommune hadde brutt FOA § 7-4 ved å utlevere timeprisene. Avgjørelsen klargjør at det er en vesentlig rettslig forskjell mellom å opplyse om en totalsum – som normalt kan offentliggjøres – og å opplyse om de underliggende enhetsprisene eller timeprisene, som gir langt mer detaljert innsikt i leverandørens forretningsmodell og prisstrategi.

Faktisk datasikkerhet ved sladding

Taushetsplikten er ikke bare et spørsmål om hva som skal sladdes, men også om hvordan sladdingen gjennomføres teknisk. KOFA-sak 2016/84 (Rauma kommune) illustrerer dette poenget på en uvanlig konkret måte [KOFA 2016/84]. Saken gjaldt en åpen anbudskonkurranse om leie av sengetøy og arbeidsklær, der to tilbud ble mottatt. Etter at konkurransen ble avlyst, ba den tapende leverandøren om innsyn i klagerens tilbud. Kommunen sladdet prisskjemaet ved å legge svart fyllfarge over cellene i et Excel-regneark, og sendte det sladdede dokumentet som vedlegg til en e-post. Ved mottak viste det seg at den svarte fyllfargen var fullt leselig i mottakerens PDF-leser – alle enhetsprisene ble dermed umiddelbart synlige for konkurrenten.

Klagenemnda fastslo at kommunen «burde vært klar over» at denne formen for sladding ikke var sikker, og at den automatiske konverteringen til PDF ved e-postforsendelsen ikke fritok kommunen fra ansvaret. Oppdragsgiver har et selvstendig ansvar for at sladding av taushetsbelagte opplysninger faktisk er teknisk sikker – ikke bare visuelt, men på datanivå. Fyllfarge i regneark som lar seg fjerne ved konvertering eller kopiering, er rett og slett ikke tilstrekkelig.

Saken har direkte overføringsverdi til sikkerhetsinformasjon: dersom teknisk mangelfull sladding er brudd på taushetsplikten for ordinære forretningshemmeligheter, må det samme kravet til faktisk, ikke bare formell, skjerming gjelde for informasjon som er enda mer sensitiv. Det er imidlertid en åpen grensesone om det gjelder et selvstendig og skjerpet krav til faktisk datasikkerhet når dokumentene også inneholder sikkerhetsgradert informasjon, utover det generelle datasikkerhetsansvaret som ble fastslått i Rauma-saken. Rettstilstanden må her betegnes som usikker i den forstand at overføringsverdien ikke er rettslig avklart, selv om den argumentativt er nærliggende.

Tidspunktet for vurderingen

KOFA uttalte i sak 2015/68 (Bergen kommune) at taushetspliktvurderingen knyttes til om oppdragsgiver på utleveringstidspunktet kjente til forhold som gjorde opplysningene taushetsbelagte [KOFA 2015/68]. En opplysning kan senere vise seg å ha vært taushetsbelagt uten at oppdragsgiver nødvendigvis kan lastes for utleveringen, dersom vedkommende ikke hadde eller burde hatt kunnskap om dette da utleveringen skjedde.

Forsyningssektorens taushetspliktregler

Forsyningsforskriften §§ 7-2 og 7-3, som etter kapittelplanen er en del av aksen for dette kapitlet, er ikke drøftet i de tilgjengelige rettskildene med tilstrekkelig presisjon til at det kan bygges selvstendige rettssetninger om innholdet i disse bestemmelsene utover det som følger av den generelle henvisningen til forvaltningsloven om taushetsplikt. Leseren bør derfor være bevisst på at taushetsplikten i forsyningssektoren i hovedsak beror på samme forvaltningsrettslige grunnlag som for oppdragsgivere under anskaffelsesforskriften.

9.3 Forretningshemmeligheter med sikkerhetsinnhold

Det doble skjermingsbehovet

Sikkerhets- og beredskapsanskaffelser skiller seg fra ordinære anskaffelser ved at forretningshemmeligheter ofte har et dobbelt innhold: opplysningen er samtidig kommersielt sensitiv og sikkerhetsmessig sensitiv. Leverandørens sikkerhetsarkitektur, krypteringsløsninger og beredskapsplaner er typiske eksempler – disse er forretningshemmeligheter i tradisjonell forstand fordi konkurrenter kan ha nytte av dem, og samtidig informasjon som kan utnyttes av en aktør med ondsinnet hensikt dersom den kommer på avveie.

DFØ nevner at typiske opplysninger som kan skjermes som forretningshemmeligheter, blant annet omfatter produksjonsmetoder, produkter under utvikling, markedsanalyser, økonomiske utregninger, konkrete forretningsstrategier, arbeidsteknikker, kontraktsvilkår og kundelister. Denne listen er utformet med den ordinære forretningshemmeligheten i tankene, men gir et nyttig utgangspunkt også der opplysningene har en sikkerhetsdimensjon: en beredskapsplan er i realiteten en form for arbeidsteknikk, og en sikkerhetsarkitektur kan sammenlignes med en produksjonsmetode i den forstand at den beskriver hvordan leverandøren organiserer sin virksomhet for å levere en beskyttet tjeneste.

Faglige anbefalinger om beskyttelse

ENISA anbefaler at forretningskontinuitets- og gjenopprettingsplaner beskyttes mot uautorisert innsyn og endring, og at konfigurasjonsstyringsplanen beskyttes mot uautorisert innsyn og modifikasjon på samme måte. NIST anbefaler at kravene til konfidensialitet og integritet ved overføring integreres direkte i avtalene med leverandører, utviklere, systemintegratorer og andre tjenesteleverandører – slik at skjermingsplikten ikke bare er en internt fastsatt policy hos oppdragsgiver, men en kontraktsforpliktelse som også binder leverandørens underleverandører.

Det er imidlertid viktig å understreke hva disse anbefalingene er, og hva de ikke er. De er ikke rettsregler, og de kan ikke i seg selv utvide taushetspliktens rekkevidde etter forvaltningsloven § 13. Anbefalingene beskriver hvordan oppdragsgiver bør organisere håndteringen av informasjon som allerede er identifisert som sensitiv – enten som forretningshemmelighet, som skjermingsverdig informasjon etter sikkerhetsloven, eller begge. Den rettslige klassifiseringen må skje først, etter reglene behandlet i punkt 9.2 og som utdypes i punkt 9.5 og 9.6.

Den uavklarte grensesonen

Her ligger en av kapitlets sentrale, uavklarte grensesoner: hvor går grensen mellom forretningshemmeligheter etter forvaltningsloven § 13 og skjermingsverdig sikkerhetsinformasjon etter offentleglova §§ 20 og 21 eller sikkerhetsloven? Ingen av de tilgjengelige rettskildene drøfter dette skjæringspunktet eksplisitt.

I praksis vil de to regelsettene ofte utfylle hverandre – en opplysning kan være taushetsbelagt som forretningshemmelighet samtidig som den er sikkerhetsgradert etter sikkerhetsloven, og da vil begge regelsett peke i samme retning: skjerming. Men i grensetilfeller, der en opplysning er sikkerhetsmessig sensitiv uten å oppfylle forvaltningslovens krav til konkurransemessig betydning, må oppdragsgiver falle tilbake på det selvstendige sikkerhetsrettslige grunnlaget, ikke taushetsplikten etter forvaltningsloven.

Dette er praktisk viktig, fordi feilaktig bruk av taushetsplikthjemmelen der det egentlig er en sikkerhetsgraderingsvurdering som skal gjøres, kan svekke etterprøvbarheten unødig. Oppdragsgiver bør derfor ta stilling til om det aktuelle skjermingsbehovet hviler på forvaltningslovens regler om forretningshemmeligheter, på sikkerhetslovens regler om sikkerhetsgradert informasjon, på offentleglovas unntak for forsvars- og sikkerhetsinteresser, eller på en kombinasjon – og dokumentere denne vurderingen.

9.4 Innsyn i tilbudsdokumenter og protokoller

Ordlyden i FOA § 7-3

Anskaffelsesforskriften § 7-3 regulerer allmennhetens innsyn i dokumentene knyttet til en offentlig anskaffelse. Bestemmelsen lyder:

«For allmennhetens innsyn i dokumentene knyttet til en offentlig anskaffelse gjelder offentleglova. Oppdragsgivere som ikke er omfattet av offentleglova, skal gi allmennheten innsyn i vare- og tjenestekontrakter med en verdi på minst 11,6 millioner kroner ekskl. mva. og bygge- og anleggskontrakter med en verdi på minst 96 millioner kroner ekskl. mva. Reglene i offentleglova om unntak fra innsyn gjelder tilsvarende.»

Ordlyden er todelt. For oppdragsgivere som allerede følger offentleglova, gjør § 7-3 ingen selvstendig endring – den bekrefter bare at loven gjelder. For de øvrige – typisk visse private eller halvoffentlige rettssubjekter som likevel er bundet av anskaffelsesregelverket – gir bestemmelsen en avgrenset, terskelbasert innsynsplikt, men med samme unntaksmuligheter som offentleglova selv gir.

Dette betyr at innsynsretten aldri er ubegrenset. Den er alltid underlagt de samme reglene om taushetsplikt og skjerming som ellers gjelder etter offentleglova, uavhengig av om oppdragsgiveren i utgangspunktet er omfattet av loven eller ikke.

Innsynstidspunktet: praksis om når retten inntrer

Ordlyden i § 7-3 sier ikke noe eksplisitt om når i prosessen innsynsretten inntrer. Det er offentleglova § 23 tredje ledd som gir det nærmere svaret: tilbud og anskaffelsesprotokoll kan unntas fra offentlighet frem til leverandørvalget er gjort. Etter dette tidspunktet inntrer innsynsretten som hovedregel, begrenset av taushetsplikten for forretningshemmeligheter etter forvaltningsloven § 13. KOFA har klargjort innholdet i denne regelen gjennom en rekke avgjørelser.

KOFA-sak 2011/143 (Bergen kommune v/ Etat for utbygging) er en sentral illustrasjon [KOFA 2011/143]. Saken gjaldt en åpen anbudskonkurranse for anskaffelse av takmonterte personløftere til kommunen. Etter at Human Care Norge AS ble valgt som leverandør, ba klager Sunrise Medical AS om innsyn i valgte leverandørs tilbud. Kommunen oversendte bare deler av tilbudet, uten å gi noen begrunnelse for hvorfor fullt innsyn ikke ble gitt.

Klagenemnda tok utgangspunkt i at innsynsretten er ufravikelig fra det tidspunkt leverandørvalget er meddelt. Oppdragsgiver kan kun nekte innsyn i konkrete opplysninger som er taushetsbelagte som forretningshemmeligheter. Det er altså ikke adgang til å holde tilbake et helt tilbud med en generell henvisning til at deler av det kan inneholde taushetsbelagte opplysninger. I den konkrete saken erkjente kommunen i ettertid at det var «uklart og vanskelig» å forklare hvorfor fullt innsyn ikke ble gitt, noe klagenemnda tolket som at taushetsplikt ikke var årsaken til nektelsen. Resultatet ble brudd på innsynsplikten.

Saken viser at oppdragsgiver må ta stilling til innsynsbegjæringer konkret og aktivt. Det er ikke tilstrekkelig å avslå generelt; oppdragsgiver må identifisere hvilke konkrete opplysninger som eventuelt er taushetsbelagte, sladde disse, og gi innsyn i resten. Denne aktivitetsplikten er en direkte konsekvens av at innsynsretten er regelen og taushetsplikten unntaket.

Samme poeng ble understreket i KOFA-sak 2011/57 (Tromsø kommune eiendom) [KOFA 2011/57]. Saken gjaldt anskaffelse av prosjekteringsgruppe til ombygging av en nedlagt skole til barnehage. Klager ba om innsyn i valgte leverandørs tilbud, men kommunen svarte først med et avslag og deretter med en oppfordring om å ta kontakt for å avtale et møte. Klagenemnda konstaterte at dette ikke tilfredsstilte regelverkets krav. Innsynsretten er en rett til dokumentinnsyn – oppdragsgiver kan ikke erstatte den med en muntlig redegjørelse eller et tilbud om fysisk oppmøte uten å sende dokumentene. Plikten er aktiv: dokumentene skal oversendes eller på annen konkret måte gjøres tilgjengelige.

Meroffentlighet

Meroffentlighetsspørsmålet ble behandlet i KOFA-sak 2007/134 (Helse Midt-Norge RHF) [KOFA 2007/134]. Saken gjaldt en konkurranse med forhandling om ambulansetjenester, der klager Svein Odd Langlo hadde begjært innsyn i samtlige saksdokumenter for det aktuelle ambulanseområdet. Oppdragsgiver avslo innsynsbegjæringen under henvisning til at tilbudsdokumentene var unntatt offentlighet fordi de inneholdt drifts- og forretningshemmeligheter av konkurransemessig betydning.

Klagenemnda la til grunn at tilbud i en offentlig konkurranse kan unntas fra offentlighet etter de ordinære reglene, men at oppdragsgiver likevel plikter å vurdere meroffentlighet ved en konkret innsynsbegjæring – det vil si spørsmålet om oppdragsgiver, selv om det foreligger lovlig grunnlag for å avslå innsyn, bør gi innsyn helt eller delvis fordi det ikke er betenkelig. Innklagede bekreftet at meroffentlighet var vurdert, men ikke funnet aktuelt. Klagenemnda fastslo at den normalt ikke overprøver oppdragsgivers meroffentlighetsvurdering når denne er foretatt og dokumentert. Det er altså et element av forvaltningsmessig skjønn her som KOFA i utgangspunktet respekterer, så lenge vurderingen faktisk er gjort.

Helse Midt-Norge-saken illustrerer dessuten et annet viktig poeng. Klager hadde fremsatt en rekke udokumenterte påstander om favorisering, men klagenemnda viste til at slike påstander utgjør et bevisspørsmål nemnda ikke har egnet grunnlag for å prøve uten konkrete holdepunkter. Saken ble avgjort uten brudd. Avgjørelsen viser at innsyn i seg selv – uansett hvor mye dokumentasjon en leverandør krever å se – ikke kan erstatte faktisk dokumentasjon av regelverksbrudd. En leverandør som hevder favorisering, men som ikke kan peke på noe konkret i evalueringsskjemaer, møtereferater eller begrunnelser som underbygger påstanden, vil ikke nå frem selv om vedkommende ikke har fått fullt innsyn.

Innsynstvister: kompetansefordeling

Det bør presiseres at KOFA i flere saker har lagt til grunn at den ikke er rette organ for overprøving av konkrete taushetspliktvurderinger etter offentleglova og forvaltningsloven. Slike tvister hører under offentlighetslovens eget klagesystem [KOFA 2012/187; KOFA 2017/43; KOFA 2011/151]. Denne kompetansefordelingen betyr at en leverandør som er uenig i oppdragsgivers vurdering av at et tilbud er taushetsbelagt, må klage på innsynsnektelsen gjennom det forvaltningsrettslige sporet, ikke gjennom KOFA.

Forsyningssektorens særstilling

I forsyningssektoren gjelder et annet utgangspunkt. KOFA-sak 2011/105 (Vestavind Offshore AS) er den sentrale avgjørelsen [KOFA 2011/105]. Saken gjaldt en åpen anbudskonkurranse om miljøovervåkningstjenester kunngjort av Vestavind Offshore AS, et selskap eid av syv kraftselskaper med kommunal og fylkeskommunal eierstruktur. Selskapet var ikke underlagt offentleglova, ettersom Fylkesmannen i Sogn og Fjordane hadde slått fast at det drev næring i direkte konkurranse med private, jf. offentleglova § 2 første ledd andre punktum.

Klager Norsk institutt for naturforskning (NINA) krevde innsyn i valgte leverandørs tilbud. Klagenemnda tok stilling til to spørsmål: om forsyningsforskriften selv ga innsynsrett, og om de grunnleggende prinsippene i lov om offentlige anskaffelser kunne gi et selvstendig innsynsgrunnlag.

På begge punkter ble svaret nei. Klagenemnda uttalte at forsyningsforskriften ikke inneholder noen selvstendig innsynsbestemmelse tilsvarende anskaffelsesforskriftens § 7-3 (den gang § 3-5). Bestemmelsen i anskaffelsesforskriften er en ren henvisningsbestemmelse til offentleglova, og denne kan ikke overføres analogisk til forsyningsforskriftens område når offentleglova i utgangspunktet ikke gjelder for oppdragsgiveren. Klagenemnda avviste også at innsynsrett er en «nødvendig følge» av de grunnleggende prinsippene i lovens § 4 eller EØS-forpliktelsene – lovgiver hadde bevisst avgrenset offentleglovas virkeområde.

Avgjørelsen trekker opp en klar grense: der oppdragsgiveren i forsyningssektoren ikke er omfattet av offentleglova, foreligger det ingen generell innsynsrett for leverandører i konkurrenters tilbud. Begrunnelsesplikten i forsyningsforskriften, som i denne saken ble oppfylt gjennom en evalueringsmatrise med rangering per tildelingskriterium, ble ansett tilstrekkelig til å ivareta leverandørens kontrollbehov. Saken viser et typetilfelle som faller klart utenfor innsynsregelen: en leverandør i forsyningssektoren kan ikke kreve innsyn i konkurrenters tilbud med hjemmel i anskaffelsesregelverket alene.

Hvordan forsyningsforskriftens manglende innsynsbestemmelse skal forstås i samspill med sikkerhetsloven og offentleglova for sikkerhets- og beredskapsanskaffelser i forsyningssektoren, er et uavklart spørsmål. Det foreligger ikke praksis som drøfter dette samspillet konkret.

Beskyttelse under selve prosessen

Innsynsretten som er beskrevet ovenfor, gjelder etter at leverandøren er valgt. Under selve konkurransen gjelder et motsatt utgangspunkt: tilbud og forespørsler om deltakelse skal beskyttes mot innsyn og endring inntil tilbudsfristen er utløpt.

DFØ anbefaler at forespørsler og tilbud skal holdes fortrolige og beskyttes mot endringer og uautorisert innsyn under overføring og lagring. Anbefalingen har direkte støtte i EØS-avtalens protokoll 31 artikkel 7, som fastslår at tilbud og forespørsler om deltakelse skal ha vern av innhold, integritet og konfidensialitet. EU-kommisjonens direktiv 2009/81/EF artikkel 36 krever på samme måte at kommunikasjon og informasjonsutveksling skjer slik at dataintegritet og konfidensialitet for forespørsler om deltakelse og tilbud ivaretas, og at innholdet bare undersøkes etter utløpt tilbudsfrist.

Forsvarssektorens innsynsregler i kontraktsforholdet

For forsvarssektoren kommer et tilleggslag av innsynsregulering. Retningslinjer for anskaffelser i forsvarssektoren (RAF) fastslår at forsvarssektoren skal ha adgangsrett til regnskapsdata, dokumenter og opplysninger i hele kontraktsperioden og inntil tre år etter sluttoppgjør. Det skal fremgå av konkurransegrunnlaget at forsvarssektoren forbeholder seg rett til å analysere kostnads- og prisdata i kalkylespesifikasjonen ved innsyn hos leverandøren, når kostnadsanalyse er aktuelt. Leverandøren skal ved innsendelse av tilbud bekrefte at innsynsretten er kjent.

RAF angir videre at for kostnadskontrakter og visse priskontrakter over en fastsatt terskelverdi skal det stilles krav om innsyn og kostnadskontroll. Forsvarssektoren skal også sikre seg innsynsrett i leverandørers regnskap ved mistanke om økonomiske misligheter. For risikoutsatte bransjer skal anskaffelsesmyndigheten kontraktsfeste retten til innsyn i dokumentasjon på personnivå.

Disse reglene er faglige anbefalinger forankret i RAF, ikke generelle anskaffelsesrettslige regler, og gjelder derfor primært i forsvarssektorens egne kontraktsforhold. De illustrerer imidlertid et poeng av bredere gyldighet: innsynsretten i kontraktsforholdet må utformes presist og forholdsmessig allerede i konkurransedokumentene, slik at leverandøren vet hva den forplikter seg til.

RAF angir uttrykkelig at et krav om innsyn som hovedregel ikke skal stå alene, men skal være relatert til leverandørens oppfyllelse av et konkret kontraktskrav – for eksempel bærekraft eller kostnadskontroll. Krav til innsyn skal dessuten være presist formulert slik at det gir leverandører forutberegnelighet om hva det faktisk kan kreves innsyn i. Forsvarssektoren skal videre vurdere å stille tilsvarende krav til innsyn som følger av åpenhetsloven, slik at disse kravene også gjelder for leverandører som ikke selv er omfattet av åpenhetsloven. For anskaffelser fra utlandet skal det kreves innsyn så langt det er mulig.

9.5 Offentleglova §§ 20 og 21: unntak for utenrikspolitiske og forsvarsmessige hensyn

Rettslig grunnlag

Der reglene om taushetsplikt i forvaltningsloven § 13 beskytter kommersielle interesser, gir offentleglova §§ 20 og 21 grunnlag for å unnta opplysninger av hensyn til statens sikkerhet, forsvar og utenrikspolitiske interesser. Disse bestemmelsene er ikke gjengitt i full ordlyd i denne fremstillingen, men deres funksjon i anskaffelsessammenheng er å gi oppdragsgiver et selvstendig rettslig grunnlag for å avslå innsynskrav der begrunnelsen ikke er forretningshemmelighet i forvaltningslovens forstand, men et bredere sikkerhets- eller forsvarshensyn.

Praksis: Departementenes servicesenter

Praksis om den konkrete anvendelsen av §§ 20 og 21 i en anskaffelseskontekst er sparsom. KOFA-sak 2008/67 (Departementenes servicesenter) gir den mest utfyllende illustrasjonen [KOFA 2008/67].

Saken gjaldt anskaffelse av et komplett høysikkerhets alarm- og adgangskontrollsystem for departementsbygningene i Oslo. Anskaffelsen var eksplisitt unntatt fra anskaffelsesforskriften i medhold av forskriftens dagjeldende § 1-3 annet ledd bokstav a, og var utelukkende regulert av lov om offentlige anskaffelser. Departementenes servicesenter gjennomførte en begrenset anbudskonkurranse der fire leverandører ble invitert etter prekvalifisering. Kontrakten ble tildelt Securitas Systems AS.

Group 4 Security Systems AS (G4S), som ble nummer to, klaget på evalueringsmodellen for pris, skjønnsutøvelsen under flere underkriterier, samt avslaget på innsyn i anskaffelsesprotokollen. Innklagede hadde avslått innsynsbegjæringen med henvisning til at anskaffelsen gjaldt et høysikkerhetssystem for departementer, og at offentliggjøring av informasjonen kunne underminere det sikkerhetssystemet som ble anskaffet.

Klagenemnda vurderte om avslaget var i strid med regelverket, og la til grunn at innsyn i anskaffelsesprotokollen kan avslås når anskaffelsen er unntatt fra forskriften av sikkerhetshensyn, forutsatt at meroffentlighet er vurdert. Innklagede hadde dokumentert denne vurderingen. Klagenemnda kom til at avslaget ikke utgjorde brudd på regelverket.

Saken illustrerer to viktige poenger. For det første: sikkerhetsunntaket fritar ikke oppdragsgiver fra å vurdere meroffentlighet. Avslaget er bare lovlig dersom oppdragsgiver faktisk har foretatt en vurdering og kommet til at hensynene som taler mot innsyn, veier tyngre enn hensynene som taler for. Prosessuelt stilles samme krav til dokumentasjon som ved ordinær meroffentlighetsvurdering.

For det andre: saken viser at anskaffelser av sikkerhets- og adgangskontrollsystemer for kritisk infrastruktur er typetilfeller der unntakene for sikkerhets- og forsvarshensyn har sin naturlige plass. Informasjon om hvilke systemer som er valgt, hvilke tekniske spesifikasjoner de har, og hvordan de er evaluert, kan i slike tilfeller gi en uønsket innsikt i bygningens sikkerhetssystem som trusselaktører kan utnytte. Det er nettopp denne typen informasjon §§ 20 og 21 er utformet for å beskytte.

Det er også verdt å merke seg at klagenemnda i den øvrige delen av saken fant at forholdsmessighetsmodellen som ble brukt for prisscoring – der laveste tilbud fikk full score og øvrige tilbud ble scoret proporsjonalt – var i samsvar med regelverket. At poengscorene under priskriteriet bare befant seg i øverste del av skalaen som følge av liten prisdifferanse, utgjorde ikke en rettstridig forskyvning av vektingen. Evalueringen av de øvrige underkriteriene ble heller ikke funnet å bygge på feil faktum eller uforsvarlig skjønn. Avgjørelsen bekrefter dermed at oppdragsgivers innkjøpsfaglige skjønn har stor rekkevidde også i sikkerhetssensitive anskaffelser som er unntatt fra forskriften.

Innskrenkende tolkning og bevisbyrde

Et generelt EU-rettslig prinsipp som er relevant for tolkningen av alle unntak fra kunngjørings- og konkurransereglene, følger av EU-domstolens praksis. EU-domstolen slo fast i sak C-199/85 (Kommisjonen mot Italia) at unntak fra disse reglene skal tolkes innskrenkende, og at bevisbyrden for at vilkårene for unntaket er oppfylt, ligger hos den som påberoper seg unntaket [EU-domstolen Case C-199/85]. Prinsippet er formulert i forbindelse med unntaket for tvingende hast, men det gir uttrykk for en generell fortolkningslinje som må gjelde også for sikkerhetsunntak.

EU-domstolen understreket samme grunntanke i sak C-340/02 (Kommisjonen mot Den franske republikk): likebehandling og gjennomsiktighet krever at gjenstanden for hver enkelt kontrakt og tildelingskriteriene defineres klart [EU-domstolen Case C-340/02]. Overført til sikkerhetsunntaket betyr dette at en generell henvisning til at «anskaffelsen berører sikkerhetshensyn» ikke i seg selv er tilstrekkelig til å begrunne et omfattende unntak fra innsyn – begrunnelsen må være konkret knyttet til hvilke opplysninger som er sensitive, og hvorfor.

En uavklart rettstilstand

Hvordan offentleglova §§ 20 og 21 skal anvendes i praksis for anskaffelsesdokumenter – herunder terskel, prosedyre og etterprøvbarhet – er ikke drøftet konkret i tilgjengelig rettspraksis utover Departementenes servicesenter-saken. Leseren bør være bevisst på at denne delen av regelverket i stor grad må anvendes ut fra offentleglovas alminnelige system, supplert med de generelle EU-rettslige fortolkningsprinsippene om innskrenkende tolkning, uten at det finnes en dedikert anskaffelsesrettslig praksis av betydelig omfang.

Det er heller ikke avklart i rettspraksis hvilket rom oppdragsgiver har for å begrense innholdet i selve kunngjøringsteksten for å unngå eksponering av sikkerhetssensitive detaljer, og hvordan dette forholder seg til EØS-rettens krav om gjennomsiktighet. Her mangler det rettskilder som kan gi en sikker veiledning.

9.6 Sikkerhetsgradert informasjon i konkurransedokumentene: håndtering og tilgang

Det graderte systemet

Der forretningshemmeligheter og offentleglovas sikkerhetsunntak håndterer informasjon som er sensitiv av kommersielle eller generelle sikkerhetshensyn, representerer sikkerhetsgradert informasjon en tredje og mer formalisert kategori. Denne kategorien er regulert gjennom sikkerhetsloven med tilhørende forskrifter, herunder virksomhetssikkerhetsforskriften, og bygger på et gradert system – BEGRENSET, KONFIDENSIELT, HEMMELIG, STRENGT HEMMELIG – med tilhørende krav til fysisk sikring, merking og tilgangsstyring.

Oppbevaring og fysisk sikring

Virksomhetssikkerhetsforskriften fastslår at i en beskyttet sone skal dokumenter og lagringsmedier med informasjon gradert KONFIDENSIELT eller høyere lagres i en oppbevaringsenhet godkjent av Nasjonal sikkerhetsmyndighet, eller være under stedlig vakthold. Dette er et rettskrav, ikke en anbefaling, og gjelder ufravikelig for alle virksomheter som behandler slik informasjon – uavhengig av om de er oppdragsgiver eller leverandør i en anskaffelse.

NSM anbefaler i tillegg at deteksjon, varsling, verifikasjon, plan for utrykning og sikker oppbevaring vurderes som sikkerhetstiltak knyttet til skjermingsverdige objekter og BEGRENSET informasjon, og at kontorplasser der BEGRENSET informasjon behandles, skal være skjermet mot innsyn.

Merking

Merkingen er en sentral del av det sikkerhetsgraderte regimet. Virksomhetssikkerhetsforskriften krever at merkingen skal være lett synlig og lett kunne gjøres kjent for alle som skal håndtere informasjonen. Dersom ikke all informasjon i et dokument har den samme graderingen, skal merkingen så langt det er praktisk mulig vise hvilke deler som har hvilken gradering eller ingen gradering.

I en anskaffelseskontekst betyr dette at et konkurransegrunnlag som inneholder både gradert og ugradert informasjon, må utformes slik at leverandørene enkelt kan se hvilke deler av dokumentet som krever spesiell behandling, og hvilke som kan behandles som ordinær dokumentasjon. En mangelfull eller uklar merking vil ikke bare kunne stride med forskriftens krav, men også skape praktiske problemer for leverandørene og øke risikoen for feilhåndtering.

Sikkerhetsklarering av leverandørens personell

Sikkerhetsklarering av leverandørens personell er en forutsetning for tilgang til sikkerhetsgradert informasjon, men systemet har en viss fleksibilitet på virksomhetsnivå. NSM utdyper at leverandørklarering kan gis selv om enkelte i virksomhetens styre eller ledelse ikke selv kan klareres, forutsatt at vedkommende gir avkall på retten til innsyn i den sikkerhetsgraderte informasjonen. Vilkåret er at styret som organ fortsatt er beslutningsdyktig etter at det aktuelle medlemmet er avskåret fra innsyn.

Denne fleksibiliteten er praktisk viktig, fordi den forhindrer at et enkelt ikke-klarerbart styremedlem automatisk diskvalifiserer hele virksomheten fra å delta i sikkerhetsgraderte anskaffelser. European Defence Agency (EDA) peker i samme retning, og angir at krav om sikkerhetsklarering avhenger av anskaffelsens gjenstand og av de spesifikke konfidensialitetskravene.

Prosedyre ved innsynskrav mot sikkerhetsgradert informasjon

Prosedyren ved innsynskrav mot sikkerhetsgradert informasjon er regulert særskilt. Virksomheten skal, uten ugrunnet opphold, be utstederen av informasjonen vurdere omgradering når det kommer et innsynskrav. Dette reflekterer at gradering ikke er en varig tilstand, men en vurdering som skal opprettholdes bare så lenge beskyttelsesbehovet består – og at den som mottar et innsynskrav, ikke nødvendigvis selv har kompetanse til å avgjøre om graderingen fortsatt er nødvendig, dersom vedkommende ikke er den som opprinnelig graderte informasjonen.

For informasjon gradert BEGRENSET – den laveste sikkerhetsgraderingen – kan partsinnsyn kombineres med autorisasjon, ved at en autorisasjonsansvarlig autoriserer en fysisk person som er part i saken til å få innsyn. Dette er en mellomløsning som gjør det mulig å ivareta partens rett til innsyn etter forvaltningsloven, samtidig som informasjonen ikke gjøres fritt tilgjengelig for enhver.

Sikkerhetsunntak og markedsadgang: et typetilfelle fra rettspraksis

Et illustrerende typetilfelle på hvor langt sikkerhetshensyn kan gå i å begrense de ordinære anskaffelsesreglene, finner vi i kjennelsen fra Oslo byfogdembete i sak 17-138788TVI-OBYF [tingretten 17-138788TVI-OBYF]. Saken gjaldt en konkurranse om vedlikehold, reparasjon og overhaling av komponenter til Bell 412-helikoptre i Forsvaret. Forsvarets logistikkorganisasjon kunngjorde konkurransen som en konkurranse med forhandling etter prekvalifisering. Den amerikanske leverandøren Blue Aerospace LLC ble prekvalifisert, leverte tilbud og deltok i forhandlinger, men ble rangert som nummer to.

Blue begjærte midlertidig forføyning for å stanse kontraktsinngåelsen, men retten tok først stilling til et mer grunnleggende spørsmål: var selskapet i det hele tatt rettighetshaver etter lov om offentlige anskaffelser?

Retten la til grunn at WTO/GPA-avtalen, som regulerer markedsadgangen for leverandører fra stater utenfor EØS, bygger på gjensidighet. En tjeneste er bare dekket overfor en leverandør fra et annet GPA-land dersom den aktuelle staten gir tilsvarende markedsadgang for samme type tjeneste. Retten fant at vedlikehold og reparasjon av luftfartøy var unntatt i det amerikanske vedlegg 5 punkt 2 a, og at norske leverandører dermed ikke hadde tilsvarende rettigheter i USA. Amerikanske leverandører hadde følgelig heller ikke rettigheter i Norge for denne tjenesten.

Retten viste også til WTO/GPA artikkel III om tiltak nødvendige av hensyn til statens vesentlige sikkerhetsinteresser, og uttalte at vedlikehold av Forsvarets helikoptre gjaldt krigsmateriell og tjenester vesentlige for nasjonal sikkerhet og forsvar, som falt utenfor GPA.

Subsidiært vurderte retten om Blue hadde fått håndhevbare rettigheter ved å bli prekvalifisert, invitert til å gi tilbud og forhandlet med. Retten la til grunn at lovens § 4 (den gang § 4 i den eldre loven) uttømmende angir hvem som har rettigheter etter anskaffelsesregelverket, og at sanksjonene, herunder midlertidig forføyning, er forbeholdt rettighetshavere. Selv om ulovfestede anbudsrettslige prinsipper etter omstendighetene kan gi grunnlag for erstatning, fant retten ikke grunnlag for at en ikke-rettighetshaver kunne kreve naturaloppfyllelse eller stanse kontraktsinngåelse. Begjæringen ble derfor ikke tatt til følge.

Saken illustrerer det bredere bildet: sikkerhets- og forsvarshensyn kan gjøre at hele deler av det ordinære anskaffelsesregelverket ikke kommer til anvendelse – ikke bare enkeltbestemmelser om innsyn, men selve grunnlaget for domstolskontroll. Deltakelse i konkurransen, herunder prekvalifisering og forhandlinger, gir ikke uten videre en tredjelandsleverandør håndhevbare rettigheter etter anskaffelsesloven. For innsyns- og taushetsreglene som er dette kapitlets hovedtema, er konsekvensen at oppdragsgiver i slike tilfeller opererer i et rettslig landskap der de ordinære gjennomsiktighetskravene er vesentlig modifisert, og der selve adgangen til overprøving kan være avskåret.

9.7 Skjerming av sensitiv sikkerhetsinformasjon overfor leverandører og konkurrenter

Oppdragsgivers kompetanse til å stille krav

Mens de foregående punktene har handlet om innsyn fra utsiden – fra pressen, fra tapende leverandører, fra allmennheten – reiser dette punktet et internt spørsmål: hvordan skal oppdragsgiver håndtere sensitiv informasjon som deles mellom leverandørene selv under konkurransen?

Anskaffelsesforskriften § 7-4 andre ledd gir svaret:

«Oppdragsgiveren kan stille krav til leverandørene om å beskytte informasjon av fortrolig karakter som gjøres tilgjengelig for dem i forbindelse med en anskaffelse.»

Denne bestemmelsen gir oppdragsgiver en selvstendig kompetanse til å pålegge leverandørene konfidensialitetsforpliktelser. Den er særlig praktisk der oppdragsgiver selv må dele sensitiv informasjon med leverandørene for at de skal kunne utforme et tilbud – for eksempel opplysninger om eksisterende sikkerhetssystemer, bygningstekniske sårbarheter eller beredskapsplaner.

Taushetsplikt under forhandling: offentliggjøring av tilbudspriser

Den andre siden av bildet er oppdragsgivers egen taushetsplikt overfor leverandørene om hverandres opplysninger. Denne plikten er særlig aktuell i forhandlingsprosedyrer, der risikoen for lekkasje av tilbudsinnhold er størst, og der leverandørene skal ha mulighet til å revidere sine tilbud i lys av forhandlingene.

KOFA-sak 2007/154 (Radøy kommune) er den tydeligste illustrasjonen av hva som skjer når denne plikten brytes [KOFA 2007/154]. Saken gjaldt en begrenset anbudskonkurranse med forhandling om totalentreprise for en ny barneskole, med en anslått verdi på om lag 40 millioner kroner. Fire leverandører ble prekvalifisert, og det ble gjennomført separate forhandlingsmøter. Samme dag som tilbudsåpningen ble samtlige fire leverandørers tilbudssummer gjengitt i den lokale avisen «Strilen» – altså mens konkurransen fremdeles pågikk og forhandlinger ennå ikke var påbegynt.

Klagenemnda tok utgangspunkt i den dagjeldende § 11-8 tredje ledd i forskriften av 2006, som fastsetter at oppdragsgiver i en konkurranse med forhandling skal sørge for at det ikke gis opplysninger om innholdet i øvrige deltakeres tilbud. Klagenemnda presiserte, med henvisning til sin egen sak 2007/95, at forbudet ikke er begrenset til tilfeller der det komplette tilbudsinnholdet gjøres kjent. Bestemmelsen rammer etter sitt formål «i hvert fall tilfeller hvor deler av innholdet som etter tildelingskriteriene vil være vesentlig for utfallet av konkurransen gjøres kjent for konkurrentene mens konkurransen pågår».

At tilbudene også inneholdt forbehold og fastpristillegg som ikke ble offentliggjort, ble ikke ansett tilstrekkelig til å avhjelpe bruddet. Tilbudssummen var et sentralt tildelingskriterium, og offentliggjøringen skjedde før forhandlingene var gjennomført. Leverandørene kunne dermed tilpasse sine forhandlingsposisjoner ut fra kunnskap om konkurrentenes prisnivå. Klagenemnda konstaterte brudd både på forskriften og på kravet til god forretningsskikk i lovens § 5 (den gang formulert i § 5 i 1999-loven).

Radøy-saken illustrerer et klart tilfelle utenfor det tillatte: en oppdragsgiver som, direkte eller indirekte, gjør tilbudspriser kjent for konkurrentene under en pågående forhandlingskonkurranse, bryter taushetsplikten. Formålet med regelen er å hindre at leverandørene kan bruke kunnskap om hverandres posisjon til å tilpasse sine reviderte tilbud, noe som undergraver den reelle konkurransen.

Klagenemnda konstaterte dessuten et annet brudd i den samme saken, knyttet til et noe annerledes tema. Klager hadde etter tildelingen mottatt motstridende opplysninger fra oppdragsgiver og oppdragsgivers konsulent om hvorvidt valgte leverandørs tilbud inneholdt forbehold. Klagenemnda fant at slike motstridende opplysninger i seg selv kan utgjøre brudd på etterprøvbarhetskravet, selv om protokollen isolert sett er tilstrekkelig – det er altså ikke bare innholdet i dokumentasjonen, men også konsistensen i de opplysningene som gis til leverandørene, som er relevant for om etterprøvbarheten er ivaretatt.

Grensen for relative tilbakemeldinger

Taushetsplikten under forhandling er ikke absolutt i den forstand at all kommunikasjon om konkurranseposisjon er forbudt. KOFA uttalte i sak 2015/64 (Stokke kommune/Re kommune) at oppdragsgiver kan gi relative tilbakemeldinger om hvor tilbudene står i forhandlingene, så lenge det ikke røpes innholdet i øvrige tilbud eller gis opplysninger som stiller enkelte leverandører bedre enn andre [KOFA 2015/64]. Klagenemnda presiserte samtidig at taushetsplikten ikke bare rammer full røping av tilbudsinnhold, men også kan ramme delvise opplysninger dersom disse har vesentlig konkurransemessig betydning.

Dette skaper en glidende skala mellom det klart tillatte og det klart forbudte: å si til en leverandør at «prisen deres ligger høyt i forhold til konkurrentene» er trolig innenfor, mens å si «konkurrenten har tilbudt X kroner» klart er utenfor. Grensetilfellene må vurderes konkret ut fra hvor mye informasjon om andre leverandørers posisjon den relative tilbakemeldingen faktisk avslører.

Deling av opplysninger for å oppnå sammenlignbare tilbud

En ytterligere nyanse følger av KOFA-sak 2016/151 (Avinor AS), der klagenemnda fant at taushetsplikten bare omfatter opplysninger som faktisk har konkurransemessig betydning å hemmeligholde, og at opplysninger som er nødvendige for å oppnå sammenlignbare tilbud kan deles mellom leverandørene uten at dette er et brudd [KOFA 2016/151]. Dette er praktisk viktig i tekniske dialogprosesser og konkurransepreget dialog, der oppdragsgiver ofte må avklare tekniske spesifikasjoner med flere leverandører samtidig, og der en viss grad av informasjonsdeling er nødvendig for at tilbudene i det hele tatt skal bli sammenlignbare.

Aktivitetsplikt til å utjevne informasjonsfordeler

Et interessant og noe motsatt utslag av likebehandlingsprinsippet finner vi i KOFA-sak 2008/79 (Forsvarets logistikkorganisasjon). Klagenemnda fant at likebehandlingskravet kan innebære en aktivitetsplikt for oppdragsgiver til å utjevne informasjonsfordeler som en eksisterende leverandør har, når denne informasjonen er nødvendig for å kunne inngi tilbud på like vilkår [KOFA 2008/79].

Likebehandlingsprinsippet virker her ikke bare som en skranke mot å dele for mye informasjon – det kan også pålegge oppdragsgiver en plikt til aktivt å dele informasjon som den innsittende leverandøren allerede besitter, slik at nye leverandører ikke stilles i en systematisk ufordelaktig posisjon. I sikkerhets- og beredskapskontekst kan dette være relevant der en eksisterende leverandør, gjennom sitt kontraktsforhold, har fått kjennskap til sensitive detaljer om oppdragsgivers infrastruktur som andre leverandører ikke har. Oppdragsgiver må da vurdere om, og på hvilken måte, informasjonsforskjellen kan og bør utjevnes uten å svekke sikkerheten ytterligere.

Faglige anbefalinger om skjerming overfor leverandører

NSM anbefaler at oppdragsgiver stiller krav til håndtering av informasjon for å sikre konfidensialitet for sensitiv informasjon, og at virksomheten definerer krav til sikringsnivå for ulike typer informasjon med ulikt behov for konfidensialitetsbeskyttelse, både for lagring og overføring. Dette er en naturlig faglig konkretisering av kompetansen i FOA § 7-4 andre ledd.

NIST anbefaler at krav til dataintegritet, konfidensialitet og tilgjengelighet for virksomhetsdata defineres og deles med systemleverandører, utviklere, systemintegratorer og andre tjenesteleverandører etter behov, med et angitt påvirkningsnivå – lav, moderat eller høy – for hvert sikkerhetsmål. NIST beskriver også mer avanserte tekniske skjermingsteknikker: komponenter bør skilles fra tilhørende informasjon i ulike fysiske og elektroniske leveringskanaler, og informasjonen bør obfuskeres for å redusere risikoen for tap av konfidensialitet. Disse er rene tekniske anbefalinger uten selvstendig rettslig forankring i norsk anskaffelsesrett, men de gir et bilde av hvordan den rettslige skjermingsplikten kan omsettes i konkrete tiltak.

ENISA anbefaler at det for eksterne enheter tas inn konfidensialitets- og taushetserklæringsvilkår i kontrakten, og at kontrakten regulerer taushetsplikt og ikke-deling av informasjon. Dette harmonerer godt med kompetansen i § 7-4 andre ledd, og er en naturlig måte å gjøre oppdragsgivers krav til leverandørenes håndtering av fortrolig informasjon kontraktsrettslig bindende og etterprøvbart.

Innsyn i leverandørens sikkerhetspraksis i kvalifikasjonsfasen

NSM anbefaler at det som minimum undersøkes om leverandøren gir innsyn i sikkerhetsarkitekturen som benyttes for å levere tjenesten, og om leverandøren har en oversikt over hvem som skal ha innsyn i virksomhetens informasjon, hvor og hvordan denne skal behandles og lagres, samt grad av mekanismer for segregering fra andre kunder.

NIST anbefaler at anskaffelser vurderer behov for innsyn i hvordan produkter og tjenester utvikles og leveres, og at det benyttes kontraktsmessige mekanismer for å sikre innsyn, revisjon og håndheving av sikkerhetskrav hos leverandører. NIST går videre i kvalifikasjonsfasen og anbefaler at det skaffes innsyn i blant annet om produsenten har formelle roller og styring for sikker utvikling, om produktintegritet følger relevante standarder, om sikkerhetskrav dokumenteres og kommuniseres, om produsenten har hatt bøter, sanksjoner eller rettstvister det siste året, og om leverandører eller tredjepartskomponenter ikke står på forbudslister.

Disse anbefalingene er rent faglige og har ikke selvstendig rettslig forankring i anskaffelsesregelverket, men de gir praktisk veiledning om hva oppdragsgiver bør etterspørre i kvalifikasjonskravene for å sikre at leverandøren faktisk kan håndtere sensitiv informasjon forsvarlig.

IKT-sikkerhetskrav som del av evalueringsgrunnlaget

Oslo tingrett behandlet i sak 24-173447TVI-TOSL et spørsmål i grenselandet mellom kravspesifikasjon og evalueringsgrunnlag: kan krav til IT-sikkerhet inngå som en sentral del av leveransen og av evalueringen, uten at dette kommer i konflikt med kravene til klarhet og forutberegnelighet? [tingretten 24-173447TVI-TOSL]

Saken gjaldt en forsyningsanskaffelse gjennomført av Avinor om kjøp av EDT-maskiner – utstyr til sikkerhetskontroll ved lufthavner – med tilhørende management-system samt service og vedlikehold. Anskaffelsens verdi var estimert til 80 millioner kroner. Tildeling skulle skje etter beste forhold mellom kostnad og kvalitet, med tildelingskriteriene kostnad (30 prosent), kvalitet (40 prosent) og miljø (30 prosent). Den tapende leverandøren NDS Security AS anførte blant annet at Avinor hadde praktisert kvalitetskriteriet på en annen måte enn konkurransegrunnlaget ga uttrykk for, og at IT-sikkerhetskrav hadde blitt tillagt vekt uten tilstrekkelig forankring.

Oslo tingrett viste til at oppdragsgiver har et innkjøpsfaglig skjønn ved utformingen av tildelingskriterier, men at kriteriene må være tilstrekkelig klare til at en normalt påpasselig leverandør forstår hvilke forhold som vil bli vektlagt. Retten la vekt på at IT-sikkerhetskrav var forankret i kravspesifikasjonen – kravet om åpen arkitektur fremgikk av SSA-K bilag 2 krav 13, og var kommunisert i forhandlingsmøtene. At oppdragsgiver underveis hadde organisert evalueringsmomentene i en tredeling som til dels brukte andre betegnelser enn de opprinnelige, ble ikke ansett å innebære at andre forhold enn det konkurransegrunnlaget allerede omfattet, ble trukket inn.

Retten fant heller ikke at klager hadde sannsynliggjort at den påståtte endringen faktisk hadde påvirket utfallet eller deltakelsen i konkurransen. Det var ikke tilstrekkelig å påvise en mulig uklarhet – det måtte også sannsynliggjøres et reelt hovedkrav, det vil si at leverandøren faktisk ville ha innrettet seg annerledes dersom kriteriene hadde vært formulert annerledes, og at dette kunne ha endret utfallet.

Typetilfellet ligger klart innenfor det tillatte: å stille og evaluere IT-sikkerhetskrav er ikke i seg selv problematisk, forutsatt at kravene er tydelig forankret og kommunisert. Saken illustrerer imidlertid en viktig grensesone: det mangler rettspraksis som direkte kobler IKT-sikkerhetskrav i konkurransegrunnlaget til innsyns- og skjermingsproblematikken etter FOA §§ 7-3 og 7-4 – altså det motsatte spørsmålet, om hvor mye av selve sikkerhetskravene og evalueringsgrunnlaget oppdragsgiver kan holde tilbake fra offentligheten uten å komme i konflikt med gjennomsiktighetsprinsippet.

9.8 Praktiske rutiner: merking, oppbevaring og tilgangsstyring i anskaffelsesprosessen

De rettslige pliktene som er beskrevet i punktene 9.2 til 9.7, må omsettes i konkrete rutiner for å fungere i praksis. Dette punktet samler de viktigste faglige anbefalingene om merking, oppbevaring, tilgangsstyring og dokumentasjon, og plasserer dem i forhold til de rettslige kravene de er ment å oppfylle.

Merking og oppbevaring

NIST anbefaler retningslinjer og prosedyrer som dekker krav til sikring, merking, håndtering, oppbevaring og spredning knyttet til vurderingsdokumenter og deres innhold, samt unik merking av elementer – for eksempel ved bruk av RFID-teknologi – for sporbarhet.

NSM anbefaler at en plan for regelmessig sikkerhetskopiering av virksomhetsdata minimum beskriver oppbevaringsperiode for sikkerhetskopier. Utover dette minimumskravet bør planen også omfatte hvilke data som skal sikkerhetskopieres, hvor ofte, ansvarsfordeling, prosedyrer ved feil, krav til sikring av kopiene, krav til gjenopprettingstid og hvem som godkjenner planen. NSM anbefaler videre at det etableres metode for sikkerhetskopiering og gjenoppretting av kritiske data, inkludert plan for backup, beskyttelse av kopier og regelmessige tester.

DSB peker på at det ved anskaffelser av registre, databaser og arkivløsninger bør stilles krav til personvern, sikker lagring, tilgjengelighet, tilgangsstyring og håndtering av hendelser. DSB anbefaler at leverandøren bør kunne opprettholde tilstrekkelig tilgjengelighet, integritet og konfidensialitet i databaser, systemer, registre og arkiver som er nødvendige for kritiske samfunnsfunksjoner.

ENISA anbefaler at loggoppbevaringsperioden er tydelig definert basert på forretningsbehov, juridiske krav og mål for nettverks- og informasjonssikkerhet, og at man tar hensyn til konfidensialiteten av data som lagres – særlig ved korrelering og analyse av loggfiler – ved å minimere hvor mye data som samles inn. Dataminimering er en praktisk konsekvens av det grunnleggende prinsippet om at skjermingsbehovet reduseres når mengden lagret sensitiv informasjon reduseres.

Tilgangsstyring

NSM anbefaler at kun IT- og sikkerhetsansvarlige bør ha innsyn i konfigurasjonen av sentrale systemer, at det brukes separate driftskontoer med begrensede rettigheter, og at det etableres regler for oppdatering av tilgangsstyring og påloggingsrutiner når ansatte slutter. NSM anbefaler videre en helhetlig kartlegging av nødvendige leveranser, informasjonssystemer og funksjoner, herunder sikkerhetsarkitektur, soneinndeling, tilgangsstyring, sikker konfigurasjon, logging og sikkerhetsovervåkning.

ENISA anbefaler at tilgangsstyring brukes for å begrense hvilke brukere og systemer som kan bruke bestemte protokoller, og at det etableres kontrollmekanismer for identitetsforvaltning, tilgangsstyring, logging og dokumentasjon. ENISA anbefaler videre at unntak fra konfigurasjonsbaselinen – det vil si tilfeller der det velges en annen løsning enn standardkonfigurasjonen – dokumenteres og godkjennes med alternative tiltak for å sikre konfidensialitet, tilgjengelighet og integritet.

Et særlig praktisk punkt gjelder autentiseringsinformasjon: ENISA anbefaler at tildeling og håndtering av hemmelig autentiseringsinformasjon kontrolleres gjennom en prosess som sikrer konfidensialitet, herunder at personell gis råd om riktig håndtering, og at registre over vesentlige hendelser knyttet til tildeling og forvaltning av slik informasjon holdes konfidensielle – for eksempel gjennom et godkjent passord-hvelv-verktøy.

Kryptering

NSM anbefaler å kryptere virksomhetsdata for å beskytte konfidensialitet og integritet, og at STARTTLS aktiveres på virksomhetens e-postserver for autentisering og konfidensialitetssikring av all e-post mellom virksomheten og samarbeidende virksomheter.

ENISA anbefaler at det dokumenteres at det finnes kryptografiske mekanismer som støtter konfidensialitet og integritet for data i hvile og under overføring, samt bruk av Data Loss Prevention-mekanismer og kryptering av sensitiv informasjon for å beskytte konfidensialitet og integritet selv ved kompromittering.

NIST peker på NIST SP 800-171 Rev. 2 som en anerkjent standard for sikkerhetskrav til beskyttelse av kontrollert, ugradert informasjon – en standard som kan være et nyttig referansepunkt når oppdragsgiver skal formulere krav til leverandørens håndtering av informasjon som ikke er formelt sikkerhetsgradert, men som likevel krever beskyttelse.

Taushetserklæringer og dokumentasjon

NSM anbefaler at medarbeidere og andre bekrefter at taushetsplikten er kjent og forstått gjennom en skriftlig taushetserklæring som oppbevares av virksomheten. Etter sikkerhetsloven med forskrifter skal bisittere undertegne taushetserklæring før en sikkerhetssamtale gjennomføres – dette er et rettskrav, ikke bare en anbefaling.

NIST anbefaler at man vurderer om alle leverandørens ansatte har signert taushetserklæringer. ENISA anbefaler at det føres dokumentasjon over alle kontraktsavtaler, taushetserklæringer, exit-intervjuer og tilgangsrevokeringer, samt eventuelle rettslige skritt som er tatt. ENISA anbefaler videre at sikkerhetsansvar, taushetsplikt, tilgang og retur av eiendeler håndteres systematisk når et arbeidsforhold opphører eller endres – et punkt som er lett å overse, men som er praktisk viktig fordi mange informasjonssikkerhetshendelser oppstår i forbindelse med at ansatte med tilgang til sensitiv informasjon forlater en virksomhet.

Kontrakten bør etter ENISAs anbefaling inneholde bestemmelser om tilgjengelighet, autentisitet, integritet og konfidensialitet knyttet til beskyttelse av data, inkludert personopplysninger. Taushetsplikt og adgang til informasjonsutveksling mellom responsmiljøer bør også reguleres i kontrakt når dette er nødvendig.

Logging og sikkerhetsovervåkning

NSM anbefaler at virksomhetens strategi for sikkerhetsovervåkning beskriver formål, bruksområde, hvilke data som samles inn, sikker oppbevaring – herunder oppbevaring og behandling i forbindelse med rettslige prosesser – kapasitetsplanlegging, tilgangsstyring til innsamlet data, sammenstilling av logger, sletting og revisjonsintervall. Loggene bør sikres mot manipulering ved å arkivere og signere dem digitalt, sørge for tilstrekkelig tilgangsstyring og implementere funksjonalitet som oppdager forsøk på manipulering eller sletting.

ENISA understreker at loggenes konfidensialitet, integritet og tilgjengelighet bør vernes.

Kontrollopplegg og etterprøvbarhet

Et beslektet spørsmål er hvor mye av oppdragsgiverens interne kontrollopplegg som må gjøres kjent for leverandørene under konkurransen. KOFA uttalte i sak 2008/191 at stikkprøvekontroll av pris kan brukes for å motvirke taktisk prising når oppdragsgiver har saklig grunn til å holde tilbake hvilke produkter som faktisk vil bli kontrollert [KOFA 2008/191]. Saken viser et delt bilde: under konkurransen kan oppdragsgiver holde tilbake opplysninger om selve kontrollopplegget for å hindre at leverandørene tilpasser sin prising strategisk. Etter at kontrakt er inngått og kontrollen faktisk gjennomføres, tilsier imidlertid etterprøvbarhetsprinsippet at leverandøren bør få innsyn i hvordan kontrollen er utført.

RAF gir en mer konkret anbefaling for forsvarssektoren: oppdragsgiver bør opplyse i konkurransegrunnlaget om at det vil bli krevd priskalkyle og hvilke regnskapsdata oppdragsgiver kan få innsyn i. Denne åpenheten om kontrollopplegget i forkant er både et utslag av gjennomsiktighetsprinsippet og en praktisk forutsetning for at leverandørene skal kunne prise sine tilbud med kunnskap om hvilke data de må gjøre tilgjengelige.

Fortløpende dokumentasjonsplikt

Underliggende disse praktiske spørsmålene ligger en generell dokumentasjonsplikt som gjelder uavhengig av om deler av materialet er skjermingsverdig. Anskaffelsesprotokollen skal føres fortløpende gjennom hele konkurransen. KOFA uttalte i sak 2005/286 (Rikstrygdeverket) at manglende protokollføring kan utgjøre et brudd selv om kontrakt ennå ikke er inngått [KOFA 2005/286]. I sak 2006/101 (Aetat Rogaland) ble det slått fast at manglende skriftlig dokumentasjon av evalueringen kan utgjøre brudd på de grunnleggende prinsippene selv der det ikke foreligger en særskilt protokollplikt etter forskriften [KOFA 2006/101]. KOFA uttalte videre i sak 2020/921 at oppdragsgiver må kunne dokumentere at kvalifikasjonsvurderingen er foretatt på forsvarlig vis og vise hvordan kravet er håndhevet likt mellom leverandørene [KOFA 2020/921].

Meddelelsesplikten mellom leverandører under konkurransen er også dokumentert i praksis: KOFA uttalte i sak 2012/187 (NAV Buskerud) at opplysninger gitt til én leverandør på forespørsel skal meddeles alle, uavhengig av om opplysningene fremstår som nye eller bare gjentar allerede kjent informasjon [KOFA 2012/187]. Meddelelsesplikten gjelder for informasjon som ikke er taushetsbelagt; taushetsbelagte opplysninger om én leverandør skal naturligvis ikke deles med andre.

Hendelsesrapportering

ENISA anbefaler at hendelsesrapporter inneholder informasjon om sikkerhetsbrudd i konfidensialitet, integritet eller tilgjengelighet, samt mulig brudd på regelverk eller interne retningslinjer. NSM anbefaler at krav eller rutiner for informasjonsbehandling, varsling, deling av sikkerhetsinformasjon, innsynsrett og taushetsplikt vurderes i anskaffelser som berører digital infrastruktur.

9.9 Praksis fra KOFA, domstolene og Sivilombudet om innsynsspørsmål med sikkerhetsdimensjon

Begrunnelsesplikten som balansepunkt

Et av de mest praktisk viktige spenningsfeltene mellom åpenhet og skjerming oppstår i forbindelse med begrunnelsesplikten ved tildeling. Oppdragsgiver skal gi tilstrekkelig begrunnelse for tildelingsbeslutningen, men er ikke forpliktet til å utlevere taushetsbelagte opplysninger eller hele evalueringsmaterialet. Denne balansen er utviklet gjennom omfattende praksis, både fra KOFA og fra EU-domstolen.

Begrunnelsens kvalitative karakter: to instruktive Statsbygg-saker

Klagenemnda har i flere avgjørelser lagt til grunn at begrunnelsen må gjøre leverandøren i stand til å forstå de vesentlige grunnene til tildelingen og kontrollere lovligheten av prosessen, uten at oppdragsgiver dermed er forpliktet til å gi en fullstendig redegjørelse eller utlevere hele evalueringsmaterialet.

KOFA-sak 2019/204 (Statsbygg) er en nøkkelavgjørelse for grensen mellom begrunnelsesplikt og taushetsplikt [KOFA 2019/204]. Saken gjaldt en åpen anbudskonkurranse om rammeavtale for geoteknisk rådgivning, estimert til 9 millioner kroner. Tildelingskriteriene var «Tilbudt kompetanse og erfaring» med 70 prosent vekt og «Pris» med 30 prosent vekt. Fire tilbud ble mottatt. I tildelingsbrevet opplyste Statsbygg at ÅF Engineering AS hadde tilbudt lavest timepris, og at tre av de fire tilbyderne – herunder både valgte leverandør og klager Golder Associates AS – hadde fått identisk poengsum under kompetansekriteriet. Timeprisene og poengscorene for priskriteriet var sladdet i anskaffelsesprotokollen med henvisning til forretningshemmeligheter.

Klagenemnda vurderte to spørsmål separat. Først, begrunnelsesplikten: Kriteriet «Tilbudt kompetanse og erfaring» la opp til en sammensatt vurdering av utdanning, arbeidserfaring og referanseprosjekter for fire navngitte rådgivere. Minimumskravet var åtte års relevant erfaring, og erfaring utover dette ville påregnelig gi uttelling. Likevel fikk tre tilbydere identisk begrunnelse og identisk toppkarakter, til tross for at det fremgikk av tilbudene at rådgivernes utdanning, erfaringslengde og erfaringsinnhold faktisk var forskjellige. Begrunnelsen sa ingenting om hvorfor forskjellene ikke slo ut i ulik poenggivning.

Klagenemnda uttalte at jo mer skjønnsmessig et tildelingskriterium er, desto strengere er kravet til begrunnelsens konkretiseringsgrad. Standardiserte formuleringer som er identiske for flere tilbydere under et skjønnsmessig kriterium, oppfyller ikke begrunnelseskravet i FOA § 25-1 annet ledd – oppdragsgiver må forklare konkret hva som er vektlagt og hvorfor. Bruddet ble konstatert.

Deretter, taushetsplikten for timepriser: Hele prisvurderingen bygde på én enkelt timepris per tilbyder. Oppgivelse av poengscoren for priskriteriet ville ha avslørt timeprisen indirekte. Klagenemnda hadde ingen innvendinger til at Statsbygg hadde sladdet timeprisen og den tilhørende poengscoren – dette ble godtatt som et legitimt unntak etter FOA § 25-1 tredje ledd.

Nøyaktig samme problemstilling og samme resultat fremgår av den parallelle saken KOFA-sak 2019/203 (Statsbygg), som gjaldt en identisk strukturert konkurranse om rammeavtale for rådgivningstjenester ved forurenset grunn [KOFA 2019/203]. To tilbud kom inn, begge fikk identisk toppkarakter under kompetansekriteriet med identisk begrunnelse, og igjen konstaterte klagenemnda at begrunnelsen ikke oppfylte kravet i FOA § 25-1 annet ledd. Også her ble sladdingen av timepriser akseptert.

De to Statsbygg-sakene tegner opp en viktig dobbeltgrense. På den ene siden: begrunnelsesplikten kan ikke oppfylles med generelle og identiske karakteristikker der tilbudene faktisk inneholder ulikheter – oppdragsgiver må vise hvordan forskjellene er veid. På den andre siden: timepriser og enhetspriser kan lovlig unntas fra begrunnelsen som forretningshemmeligheter, og oppdragsgiver trenger ikke oppgi poengscorer som indirekte ville avslørt slike priser. Utfordringen for oppdragsgiver er å finne en formidlingsform som ivaretar begge hensyn – som forklarer tilstrekkelig uten å røpe det som er taushetsbelagt.

Priser og begrunnelsesplikten: sammenhengen med punkt 9.2

Sammenhengen mellom disse Statsbygg-sakene og avgjørelsen i KOFA-sak 2024/1936 (Vega kommune) behandlet i punkt 9.2 er verdt å fremheve [KOFA 2024/1936]. I Vega-saken var problemet at oppdragsgiver utleverte timeprisene; i Statsbygg-sakene var problemet at oppdragsgiver holdt timeprisene tilbake, men ikke kompenserte med en tilstrekkelig konkret begrunnelse av de øvrige kriteriene. De to situasjonene representerer to sider av den samme grensedragningen: oppdragsgiver har både en plikt til å skjerme taushetsbelagte priser og en plikt til å begrunne tilstrekkelig. Løsningen er å beskrive relative fordeler og ulemper uten å røpe konkrete prisstørrelser – for eksempel ved å angi at valgte leverandør tilbød lavest pris, og at prisforskjellen hadde slik eller slik betydning for totalvurderingen, uten å oppgi selve prisen.

Krav om fullt evalueringsmateriale: et typetilfelle som faller utenfor

Et typetilfelle som kontrasterer med de sakene der begrunnelsesmangler fører til brudd, er situasjonen der en leverandør krever utlevert hele evalueringsmaterialet – alle dokumenter, alle poengskjemaer, alle notater fra evalueringskomiteen. Klagenemnda har lagt til grunn at dette kravet er for vidtgående. Det er begrunnelsens kvalitative innhold som er avgjørende, ikke det kvantitative omfanget av materialet som leverandøren mottar.

KOFA uttalte i sak 2023/0392 (Søve AS) at kravet til etterprøvbar begrunnelse gjelder selv om underliggende tilbudsdokumenter er unntatt innsyn på grunn av taushetsplikt [KOFA 2023/0392]. Men etterprøvbarheten sikres gjennom begrunnelsens innhold, ikke gjennom full dokumenttilgang. En begrunnelse som bare angir at det ikke er funnet utslagsgivende forskjeller mellom tilbudene, er ikke tilstrekkelig – men dette endrer ikke at leverandøren ikke har krav på å få oversendt alle bakgrunnsdokumentene.

En etterfølgende utdyping eller korrespondanse innen karensperioden kan inngå i den samlede vurderingen av om begrunnelsesplikten er oppfylt [KOFA 2015/63; KOFA 2024/0183]. Begrunnelsen trenger altså ikke nødvendigvis å være perfekt i første meddelelse, dersom den suppleres i tide.

EU-domstolens praksis om begrunnelse og konfidensialitet

EU-domstolens praksis bekrefter denne balansegangen. Underretten fastslo i sak T-591/08 at likebehandlingsprinsippet krever at alle tilbydere gis like muligheter og at prosedyren er transparent [Underretten T-591/08]. I sak T-514/09 (bpost mot Kommisjonen) understreket Underretten at domstolskontrollen med oppdragsgivers evaluering er begrenset, og at krav til kontradiksjon og effektiv rettslig beskyttelse må avveies mot vernet av forretningshemmeligheter og konfidensielle opplysninger [Underretten T-514/09]. I sak T-247/09 (Evropaïki Dynamiki mot Kommisjonen) la Underretten til grunn at spørsmålet om begrunnelsesplikten er oppfylt, må vurderes ut fra de opplysningene tilbyderen hadde tilgang til da søksmålet ble reist, og at oppdragsgiver etter skriftlig anmodning skal opplyse om det valgte tilbudets kjennetegn og relative fordeler samt navnet på den valgte tilbyderen [Underretten T-247/09].

Denne EU-rettslige linjen harmonerer godt med den norske praksisen: begrunnelsesplikten er en informasjonsplikt av kvalitativ, ikke kvantitativ, karakter – oppdragsgiver skal forklare hvorfor, ikke nødvendigvis oppgi alt tallmaterialet bak vurderingen.

EU-domstolen understreket i sak C-629/11 (Evropaïki Dynamiki) at en prosessuell mangel knyttet til likebehandling eller gjennomsiktighet bare leder til annullasjon dersom det godtgjøres at prosedyren uten feilen kunne fått et annet utfall [Underretten T-50/05]. Denne terskelen virker begge veier: den gir rom for en pragmatisk tilnærming til begrunnelsesmangler, men den forutsetter at oppdragsgiver faktisk kan dokumentere at feilen ikke var avgjørende.

Forsvarsdirektivet og konfidensialitet i klagebehandling

EU-kommisjonen krever i direktiv 2009/81/EF at medlemsstatene sikrer at organer ansvarlige for klage- og overprøvingsprosedyrer garanterer et tilstrekkelig nivå av konfidensialitet for gradert informasjon eller annen informasjon i dokumentene som er oversendt av partene, og opptrer i samsvar med forsvars- og sikkerhetsinteresser gjennom hele prosedyren. NATO krever at personell involvert i anskaffelser følger strenge etiske standarder, inkludert konfidensialitet og upartiskhet. Disse kravene retter seg mot selve klageorganene – KOFA, domstolene og Sivilombudet – og forutsetter at disse har rutiner for å håndtere sensitiv informasjon forsvarlig.

Begrunnelsesplikten i sikkerhetsgraderte anskaffelser

En av de tydeligste, uavklarte grensesonene i dette kapitlet er spørsmålet om hvordan begrunnelsesplikten skal oppfylles der selve evalueringsmomentene – for eksempel en leverandørs sikkerhetsløsninger eller beredskapsplaner – er skjermingsverdig informasjon etter sikkerhetsloven. Prinsippet om at begrunnelsen skal gi en forståelig redegjørelse uten å røpe taushetsbelagt innhold, må antas å gjelde også her. Men metoden for hvordan dette skal gjøres i praksis når hele evalueringsgrunnlaget er sikkerhetsgradert, er ikke utpenslet i praksis. Her mangler det rettspraksis som gir en sikker veiledning.

Bevisfremleggelse av sensitiv informasjon i rettslige tvister

Et rettslig selvstendig spørsmål oppstår når en anskaffelsestvist bringes for domstolene, og en part krever fremleggelse av dokumenter som inneholder taushetsbelagte eller konkurransesensitive opplysninger. Her gjelder tvisteloven § 22-3 om bevisforbud, og domstolene har utviklet en interesseavveiningsmodell som gir en nyansert tilnærming – mer nyansert enn den klare regelen i § 7-4 om hva som er taushetsbelagt, fordi den også trekker inn behovet for sakens opplysning.

Prisskjemaer i erstatningssak: sperringen mot bevistilgang

Borgarting lagmannsrett behandlet spørsmålet i kjennelsen i sak 15-001311ASK-BORG [15-001311ASK-BORG]. Saken hadde sitt utspring i en åpen anbudskonkurranse gjennomført av Oslo kommune, der Total Uteservice ble avvist med henvisning til unormalt lave priser. Selskapet saksøkte kommunen for erstatning og krevde fremlagt konkurrentenes prisskjemaer for å kunne vurdere om avvisningen var berettiget. Tingretten påla fremleggelse, men Mesta, som var tildelt kontrakten, anket.

Lagmannsretten la til grunn at prisskjemaene var underlagt lovbestemt taushetsplikt etter forvaltningsloven § 13 første ledd nr. 2. Deretter foretok retten en selvstendig avveining etter tvisteloven § 22-3 tredje ledd mellom hensynet til taushetsplikten og hensynet til sakens opplysning. Retten anerkjente at prisskjemaet kunne ha en viss betydning for å belyse kommunens saksbehandling, men fant at denne betydningen ikke var avgjørende. Hensynet til vern av forretningshemmeligheter og risikoen for konkurransevridning i senere konkurranser veide tyngre. Retten pekte også på at lukkede dører og taushetsplikt i retten ikke ga tilstrekkelig vern, fordi opplysningene uansett ville bli kjent for konkurrenten gjennom selve saksbehandlingen.

Avgjørelsen illustrerer et viktig poeng for leverandører som vurderer å kreve innsyn i motpartens prisopplysninger i en anskaffelsestvist: det er ikke tilstrekkelig at opplysningene har en viss bevisverdi. Domstolen foretar en reell avveining, og hensynet til taushetsplikt kan slå igjennom selv om opplysningene ville ha styrket partens sak.

Enhetspriser og påslagsprosent i IKT-tvist: begrensningens rekkevidde

Hålogaland lagmannsrett videreutviklet denne interesseavveiningen i sak LH-2020-169984 [LH-2020-169984]. Saken gjaldt en begrenset anbudskonkurranse gjennomført av Bodø kommune om rammeavtale for IKT-driftstjenester med en anslått verdi på mellom 144 og 288 millioner kroner. Atea AS ble tildelt kontrakten. Den tapende leverandøren, opprinnelig iTet AS, senere Braathe Gruppen AS, saksøkte kommunen med krav om erstatning og anførte blant annet at Atea skulle vært avvist fordi tilbudet ikke inneholdt nettoprisliste som forutsatt i konkurransegrunnlaget.

Under saksforberedelsen begjærte Braathe Gruppen innsyn i usladdede dokumenter som viste Ateas enhetspriser for kontorutstyr og infrastruktur, samt en sladdet påslagsprosent i en e-post fra kommunen. Tingretten ga medhold etter å ha innhentet uttalelse fra Nærings- og fiskeridepartementet. Atea og kommunen anket.

Lagmannsretten la til grunn at enhetsprisene og påslagsprosenten var taushetsbelagte forretningshemmeligheter. For enhetsprisene sluttet retten seg til momentene departementet hadde pekt på: prisene kunne fortsatt ha konkurransemessig verdi og kunne avsløre pris- og konkurransestrategi. For påslagsprosenten kom det i tillegg at denne gjaldt for alle produkter i hele kontraktsperioden.

Deretter vurderte retten om bevisene likevel skulle tillates ført etter tvisteloven § 22-3 tredje ledd. Lagmannsretten la avgjørende vekt på at de etterspurte opplysningene i liten grad var av betydning for de aktuelle tvistepunktene. Når det gjaldt enhetsprisene, mente retten at Braathe Gruppens hovedanførsel – at manglende nettoprisliste utgjorde et vesentlig forbehold som skulle medført avvisning – i utgangspunktet ikke forutsatte kjennskap til hver enkelt enhetspris. Saken inneholdt allerede opplysninger om Ateas faktiske prising, blant annet fra KOFA-sporet og ved at summen av enhetsprisene ikke var sladdet.

For den sladdede påslagsprosenten kom retten til at heller ikke denne hadde nevneverdig betydning. Konkurransegrunnlaget oppstilte ikke krav om at påslagsprosenten uttrykkelig skulle oppgis, og opplysningen ga derfor ikke reell tilleggsstøtte til anførselen om at Atea ikke var bundet av konkurransegrunnlagets prismekanisme. Retten avviste også at spørsmålet ikke kunne belyses gjennom andre bevismidler, og pekte på at vitneførsel kunne tjene som alternativ.

Etter en samlet interesseavveining kom lagmannsretten til at hensynet til taushetsplikten veide klart tyngst, og begjæringen om bevistilgang ble ikke tatt til følge.

Sammenholdt med Borgarting-saken om prisskjemaer i erstatningstvisten gir Hålogaland-saken et konsistent bilde: domstolene er tilbakeholdne med å gi bevistilgang til detaljerte prisopplysninger i anskaffelsestvister. Felles for begge avgjørelsene er at retten legger vekt på om opplysningene faktisk er nødvendige for å avgjøre de konkrete tvistepunktene, og om sakens opplysning kan ivaretas på andre måter. En leverandør som ønsker bevistilgang, må derfor vise presist hvorfor nettopp de etterspurte opplysningene er uunnværlige – en generell henvisning til at opplysningene «kunne styrket saken» er ikke tilstrekkelig.

Tilbuds- og forhandlingsdokumenter i konsentrert marked

Borgarting lagmannsrett behandlet en mer kompleks variant av interesseavveiningen i sak 23-160071ASK-BORG [23-160071ASK-BORG]. Saken sprang ut av en konkurranse med forhandling gjennomført av Vygruppen AS om vedlikehold av jernbanekjøretøy på Østlandet, en kontrakt regulert etter forsyningsforskriften del I og del II. Stadler ble tildelt kontrakten; Mantena, som hadde levert det andre tilbudet, begjærte midlertidig forføyning for å stanse kontraktsinngåelsen.

Mantena krevde innsyn i ni dokumenter i usladdet form, herunder Stadlers tilbudsbrev, dokumenter om forbehold og forutsetninger, optimalisering av vedlikeholdssykluser, Vys skriftlige tilbakemeldinger og flere forhandlingsprotokoller. Vy motsatte seg dette under henvisning til at de sladdede opplysningene var taushetsbelagte forretningshemmeligheter. Statens jernbanetilsyn, etter delegasjon fra departementet, uttalte at opplysningene var underlagt taushetsplikt og at det ville være urimelig overfor Stadler å tillate dem ført som bevis.

Lagmannsretten fant at det var overveiende sannsynlig at de sladdede opplysningene gjaldt prisforutsetninger, mobiliseringstid, vedlikeholdssykluser, løsningsbeskrivelser og forhandlingsstrategi. Retten la særlig vekt på tre momenter: markedet var konsentrert med få aktører, Mantena og Stadler var nære konkurrenter både i Norge og internasjonalt, og kontrakten var ennå ikke inngått. Muligheten for at konkurransen kunne bli avlyst og utlyst på nytt skjerpet behovet for hemmelighold ytterligere.

En interessant prosessuell side ved saken var spørsmålet om retten selv måtte innhente og gjennomgå de usladdede dokumentene for å ta stilling til taushetspliktvurderingen. Lagmannsretten uttalte, med henvisning til Høyesteretts ankeutvalgs avgjørelse HR-2023-1857-U, at tvisteloven § 26-7 gir en adgang, men ikke en plikt, til slik gjennomgang. Det avgjørende er om retten har et forsvarlig avgjørelsesgrunnlag. I denne saken mente lagmannsretten at den hadde det – blant annet basert på Statens jernbanetilsyns vurdering og partenes redegjørelser.

Retten avviste også at EU-retten oppstilte en absolutt plikt til selv å gjennomgå dokumentene i usladdet form. Kravet var at domstolen måtte foreta en selvstendig vurdering og ha adgang til å kreve dokumentene fremlagt dersom det var nødvendig.

Ved avveiningen etter tvisteloven § 22-3 tredje ledd kom retten til at hensynet til taushetsplikten veide klart tyngst. Opplysningene var konkurransesensitive, markedet hadde få aktører, og informasjonen kunne få særlig skadevirkning ved en eventuell ny konkurranse om samme kontrakt eller i fremtidige anskaffelser. Lukkede dører og pålegg om taushetsplikt ble ikke ansett tilstrekkelig til å avhjelpe ulempen, fordi Mantena som konkurrent uansett ville kunne nyttiggjøre seg opplysningene.

Saken viser også en viktig håndtering av et uhell: ett dokument hadde ved en feil blitt oversendt Mantena i usladdet form. Lagmannsretten la til grunn at vurderingen måtte skje «som om feilen ikke var skjedd» – dokumentet skulle altså ikke tillates som bevis bare fordi det allerede var kjent for motparten gjennom en feil. Denne tilnærmingen er prinsipiell: en teknisk feil ved oversendelsen av et taushetsbelagt dokument gir ikke motparten en rett til å bruke dokumentet i en rettssak.

Sett i sammenheng med de to foregående sakene – prisskjemaer i Total Uteservice-saken og enhetspriser i Braathe Gruppen-saken – representerer Vygruppen-saken den mest omfattende varianten av bevisfremleggelsesproblemet: her dreide det seg ikke bare om prisopplysninger, men om hele tilbuds- og forhandlingsstrategien. Resultatet er likevel det samme: hensynet til taushetsplikten går foran, og retten aksepterer en mellomløsning der den bygger på redegjørelser for dokumentinnholdet i stedet for å gi motparten direkte tilgang.

Den samlede bevisfremleggelseslinjen

De tre lagmannsrettsavgjørelsene – fra Borgarting i sak 15-001311ASK-BORG, fra Hålogaland i sak LH-2020-169984 og fra Borgarting i sak 23-160071ASK-BORG – danner til sammen en konsistent linje. Domstolene foretar en selvstendig avveining etter tvisteloven § 22-3 tredje ledd der følgende momenter trekkes inn: opplysningenes faktiske betydning for de konkrete tvistepunktene, muligheten for å belyse forholdet gjennom andre bevismidler, markedets konsentrasjon og risikoen for fremtidig konkurransevridning, og tidspunktet i prosessen (om kontrakt er inngått eller ikke).

I alle tre sakene gikk hensynet til taushetsplikten foran. Det betyr ikke at bevistilgang aldri gis i anskaffelsestvister, men det betyr at terskelen er høy – og at den som krever bevistilgang, må vise presist hvorfor de aktuelle opplysningene er uunnværlige for å opplyse det konkrete tvistepunktet.

Overføringsverdi til sikkerhetsgradert informasjon

Overføringsverdien av denne bevisfremleggelseslinjen til sikkerhetsgradert informasjon er imidlertid ikke rettslig avklart. Avgjørelsene gjelder forretningshemmeligheter, ikke sikkerhetsgradert informasjon i sikkerhetslovens forstand. Momentene i interesseavveiningen – begrenset betydning for tvistetemaet, mulighet for å belyse forholdet gjennom andre bevismidler, og bruk av redegjørelser i stedet for direkte dokumentinnsyn – er tenkelige å anvende analogisk også for sikkerhetsgradert informasjon, men dette er foreløpig en uprøvd analogi. Rettstilstanden må betegnes som usikker.

Det kan også reises spørsmål om prinsippene må modifiseres der det er sikkerhetsgradert informasjon som er i spill – for eksempel ved at innsynet ikke kan kombineres med samme type redegjørelse som for forretningshemmeligheter, dersom selve redegjørelsen ville avsløre sikkerhetsgraderte forhold. Disse spørsmålene er ikke besvart i tilgjengelig rettspraksis.

Tredjepartslekkasje og avlysningsplikt

Et viktig spørsmål er hva som skjer når taushetsbelagt informasjon lekker ut før eller under en konkurranse, ikke gjennom oppdragsgiverens egen håndtering, men gjennom en tredjepart. KOFA uttalte i sak 2022/902 (Sykehusinnkjøp HF) at taushetsbelagte opplysninger som er gjort kjent forut for konkurransen kan utløse avlysningsplikt dersom feilen kan påvirke konkurransen og ikke kan rettes på annen måte [KOFA 2022/902]. Klagenemnda la videre til grunn at oppdragsgiver kan hefte for taushetsbrudd begått av tredjeparter som forvalter ordninger eller avtaler på oppdragsgivers vegne.

Denne linjen ble nyansert i KOFA-sak 2025/1530, der klagenemnda fant at et brudd på taushetsplikten ikke automatisk utløser avlysningsplikt dersom feilen inntraff etter kontraktstildeling og ikke kan ha påvirket konkurransen [KOFA 2025/1530]. De to sakene utgjør sammen et sammenhengende bilde: avlysningsplikt er ikke en automatisk konsekvens av ethvert taushetsbrudd, men avhenger av en konkret vurdering av om lekkasjen faktisk kan ha påvirket konkurransens utfall, og av tidspunktet.

For sikkerhets- og beredskapsanskaffelser er dette prinsippet særlig relevant, fordi risikoen for tredjepartslekkasje ofte er høyere når flere aktører – underleverandører, sikkerhetsklarerte konsulenter, samarbeidende myndigheter – er involvert i behandlingen av sensitiv informasjon. Oppdragsgiver bør være bevisst på at ansvaret for skjerming ikke kan «kontraheres bort» til tredjeparter uten at oppdragsgiver fortsatt bærer det rettslige ansvaret for at informasjonen faktisk forblir skjermet. Om tredjepartslekkasje av sikkerhetsgradert informasjon (i motsetning til forretningshemmeligheter) utløser en skjerpet avlysningsplikt, er imidlertid ikke avklart i praksis.

En advarsel: varsling «uten hinder av taushetsplikt»

Et punkt som krever særlig oppmerksomhet, gjelder forslag om at leverandører skal varsle om hendelser «uten hinder av taushetsplikt». Slike formuleringer forekommer i deler av det tekniske fagmiljøet som en generell anbefaling om at tilbyderen uten unødig opphold skal varsle om hendelser som virker betydelig inn på tjenesteleveransen, uavhengig av taushetsplikt.

Denne typen formulering bør ikke tas inn i kontrakter eller konkurransedokumenter som en generell regel. Unntak fra taushetsplikt krever en spesifikk lovhjemmel. Digitalsikkerhetsloven inneholder riktignok bestemmelser om informasjonsdeling gjennom varslingssystemer for digital infrastruktur, men dette er en avgrenset kontekst som ikke uten videre kan utvides til en generell plikt til å varsle om leveransehendelser uavhengig av taushetsplikt.

Uten en spesifikk hjemmel for det konkrete tilfellet vil et pålegg om å varsle «uten hinder av taushetsplikt» lett komme i konflikt med forvaltningsloven § 13 og med anskaffelsesforskriften § 7-4. En oppdragsgiver som ønsker å sikre rask varsling om sikkerhetshendelser fra leverandøren, bør derfor forankre varslingsplikten i et konkret kontraktsvilkår om hendelsesrapportering, ikke i en generell formulering om at taushetsplikten skal settes til side. Dersom varslingen i realiteten innebærer at leverandøren skal dele opplysninger som er taushetsbelagte, må spørsmålet om lovlig hjemmel for unntaket vurderes konkret – det følger ikke av seg selv at en kontraktsklausul kan gi en gyldig fritakelse fra en lovbestemt taushetsplikt.

Oppsummerende betraktning

Praksisbildet som er gjennomgått i dette kapitlet, viser at innsyns- og taushetsreglene i anskaffelsesretten er bygget opp med en rekke innbyrdes balanserte mekanismer: innsynsrett etter leverandørvalg, men begrenset av taushetsplikt; begrunnelsesplikt, men uten krav om å utlevere taushetsbelagt innhold; bevisfremleggelsesplikt i rettslige tvister, men underlagt en interesseavveining; og avlysningsplikt ved taushetsbrudd, men bare når bruddet faktisk kan ha påvirket konkurransen.

Sikkerhetsgradert informasjon legger et ekstra lag av regulering på toppen av dette systemet, men de tilgjengelige rettskildene gir foreløpig begrenset og til dels usikker veiledning om hvordan de generelle anskaffelsesrettslige mekanismene skal anvendes når informasjonen som er i spill, ikke bare er en forretningshemmelighet, men en formelt sikkerhetsgradert opplysning.

Praktikeren må derfor navigere dette landskapet med bevissthet om at analogier fra den ordinære taushetspliktpraksisen er nyttige, men ikke uten videre overførbare, og at den forsvarlige løsningen i tvilstilfeller er å søke en konkret, dokumentert vurdering av skjermingsbehovet – ikke en generell eller kategorisk regel.