Juridiske og organisatoriske problemstillinger knyttet til etablering av ordninger for forvaltning av elektronisk ID (e-ID) og løsninger for elektronisk signatur (e-Signatur) til bruk ovenfor offentlig forvaltning

Juridiske og organisatoriske problemstillinger knyttet til etablering av ordninger for forvaltning

av elektronisk ID (e-ID) og løsninger for

elektronisk signatur (e-Signatur) til bruk ovenfor offentlig forvaltning

Av advokatene Arve Føyen og Birgitte Araldsen Simonsen Føyen Advokatfirma DA

Oslo, 16. desember 2004

Innholdsfortegnelse:

1. Bakgrunn og formål... 3

2. Rettslige rammevilkår... 4

2.1 Hjemmel for en godkjenningsordning - Lov om elektroniske signaturer § 5, forvaltningsloven § 15a og eForvaltningsforskriften § 27 ... 5

2.2 Krav til bruk av sikkerhetstjenester og produkter – eForvaltningsforskriften § 4 8 2.3 Økonomiske forhold knyttet til etablering og bruk av sikkerhetsløsninger ... 11

2.4 Noen relevante problemstillinger i forhold til anskaffelsesregelverket... 13

2.4.1 Kan kravspesifikasjonen begrenses til kun å omfatte PKI? ... 14

2.4.2 Vare- og/eller tjenesteanskaffelse... 16

2.4.3 Rammeavtaler generelt og parallelle rammeavtaler spesielt ... 17

3. Godkjenningsordning ? ... 22

3.1 Direktivets krav til en godkjenningsordning ... 23

3.2 Godkjenningens innhold og varighet... 26

3.3 Organisering ... 26

3.4 Andre forhold knyttet til en godkjenningsordning ... 27

3.5 Alternative ordninger... 28

4. Samtrafikk ... 28

5. Avtalemodeller ... 29

5.1 Avtalemodeller i forholdet mellom offentlig sektor og privatpersoner... 32

5.2 Avtalemodeller i forholdet mellom offentlig sektor og private virksomheter 37 5.3 Avtalemodeller mellom forskjellige organer innenfor offentlig sektor... 38

1. Bakgrunn og formål

Som ledd i arbeidet med å utvikle forvaltningen til å bli mer tilgjengelig, brukervennlig og effektiv er det viktig å legge til rette for sikker og effektiv elektronisk

kommunikasjon med og i forvaltningen. Elektronisk ID og elektroniske signaturer er virkemidler i dette arbeidet. Elektronisk ID innebærer at man kan få bekreftet avsenders identitet og/eller fullmakter (autentisering). En elektronisk signatur vil på visse vilkår innebære at en disposisjon gjennomført elektronisk vil få samme rettsvirkninger som om den var påført en underskrift.

Bruk av e-ID og e-Signatur gir muligheter for en betydelig utvidelse av

anvendelsesområdet for elektronisk kommunikasjon i forvaltning, både i forholdet mellom forskjellige forvaltningsorganer, i forholdet mellom forvaltningsorganer og private virksomheter, og i forholdet mellom forvaltningsorganer og privatpersoner. Ved bruk av begrepet forvaltningen/forvaltningsorgan i dette notatet menes offentlig sektor, både på statlig, fylkeskommunalt og kommunalt nivå.

Vi har på oppdrag fra Moderniseringsdepartementet i dette notatet sett nærmere på juridiske og organisatoriske problemstiller knyttet til etablering av ordninger for forvaltning av e-ID og løsninger for e-Signatur til bruk overfor offentlig forvaltning.

Notatet er innspill til Arbeidsgruppen for PKI i offentlig sektor.

Det er noen sentrale hensyn som det er viktig å ivareta ved etablering av ordninger for e-ID og e-Signatur i offentlig sektor. Vi har i denne utredningen lagt vekt på følgende sentrale hensyn:

• Sikkerhet - løsningene må være tilstrekkelig sikre i fh t tiltenkt bruk

• Konkurranse – det er ønskelig å opprettholde og evt. bidra til å utvikle konkurransen i markedet for sikkerhetsløsninger

• Brukervennlighet – løsningene bør være enkle å ta i bruk og enkle å benytte.

Evt. betaling for brukerne kan bli ansett som lite brukervennlig og hindre utbredelsen.

• Flerbruk – den e-ID som en bruker anskaffer bør kunne benyttes i flest mulige relasjoner, både i forhold til det offentlige og i forhold til private virksomheter

• Økonomi – de etablerte løsningene må være økonomisk akseptable for alle involverte

Disse hensynene er til dels motstridende. Hensynene til brukervennlighet, flerbruk og konkurranse tilsier at flest mulige løsninger skal kunne brukes i forbindelse med elektronisk kommunikasjon i og med forvaltningen. Dette kan tale imot å velge én leverandør basert på en konkurranse om hvilken løsning som er den økonomisk mest fordelaktige. En slik konkurranse vil normalt være best egnet for å ivareta økonomiske hensyn. Regelverket for offentlige anskaffelser tar også utgangpunkt i konkurranse mellom leverandørene. Aveiningen av det ulike hensynene er en politisk avgjørelse. I parallell med denne utredningen forbereder Moderniseringsdepartementet en

forvaltningspolitisk utredning hvor interesseavveininger og kost/nytte-vurderinger vil stå sentralt. Både denne juridiske utredningen og Moderniseringsdepartementets

forvaltningspolitiske utredning vil være med å danne grunnlag for Arbeidsgruppens anbefalinger.

Aktuelle løsninger for etablering av e-ID og e-Signatur i offentlig forvaltning kan være opprettelse av en godkjenningsordning og/eller inngåelse av en eller flere avtaler eller rammeavtaler. Formålet med en godkjenningsordning vil være å fastslå hvilke løsninger som tilfredsstiller offentlig sektors krav innenfor definerte sikkerhetsnivåer. Før de godkjente løsningene kan tas i bruk i forvaltningen, må det inngås nødvendige avtaler.

Dette kan tenkes gjort ved at det enkelte organ inngår avtale med en eller flere leverandører. Alternativt kan flere etater inngå felles avtaler eller det kan inngås rammeavtaler som større eller mindre deler av offentlig sektor kan benytte seg av. En godkjenningsordning kan bidra til å forenkle arbeidet i tilknytning til inngåelse av avtaler, da de godkjente løsningene tilfredsstiller grunnleggende krav for bruk i offentlig sektor. Dersom det ikke etableres noen godkjenningsordning må det i tilknytning til hver enkelt avtale sikres at den/de aktuelle løsningene tilfredsstiller offentlig sektors krav innenfor det aktuelle sikkerhetsnivået. Dette notatet gir en nærmere vurdering av de ulike modellene som her er skissert.

Det er utarbeidet en funksjonell kravspesifikasjon datert 15.11.2004, som etter sin egen ordlyd skal legges til grunn for tilbudsforespørsler fra offentlige organer for anskaffelse av PKI til bruk i forbindelse med elektronisk kommunikasjon med og i offentlig sektor (heretter ”Kravspesifikasjonen”). Vår forståelse er at Kravspesifikasjonen skal benyttes både ved rammeavtaler og ved avtaler som inngås direkte mellom en leverandør og en etat eller flere etater i fellesskap. Kravspesifikasjonen er også utarbeidet med tanke på å kunne bli lagt til grunn for en evt. godkjenningsordning, se pkt 2.1 Ved henvisninger i dette notatet til Kravspesifikasjonen menes nevnte dokument. I konkrete utlysninger vil det være behov for å ta med avgrensninger og tilleggskrav i forhold til

Kravspesifikasjonen for å få nødvendig spesifikasjon i forhold til den konkrete løsningen som skal anskaffes.

2. Rettslige rammevilkår

I forhold til problemstillingene knyttet til godkjenningsordning og avtaler for etablering av løsninger for e-ID og e-Signatur i offentlig sektor, er følgende regelverk særlig sentralt:

• Lov 2001-06-15 nr 81 om elektronisk signatur

• Direktiv 1999/93/EF av 13. desember 1999 om fellesskapsramme for elektroniske signaturer

• Lov 1967-02-10 om behandlingsmåten i forvaltningssaker (forvaltningsloven)

• Forskrift 2004-06-25 nr 988 om elektronisk kommunikasjon med og i forvaltningen (eForvaltningsforskriften)

• Lov 1999-07-16 nr 69 og forskrift 2001-06-15 om offentlige anskaffelser

I det følgende påpekes enkelte bestemmelser/problemstillinger i dette regelverket som er av betydning i den videre fremstillingen.

2.1 Hjemmel for en godkjenningsordning - Lov om

elektroniske signaturer § 5, forvaltningsloven § 15a og eForvaltningsforskriften § 27

Lov om elektroniske signaturer § 5 lyder som følger:

§ 5. Krav til kvalifiserte elektroniske signaturer brukt i kommunikasjon med og i offentlig sektor

Kongen kan fastsette nærmere regler om hvilke krav som skal stilles til kvalifiserte elektroniske signaturer som skal brukes ved kommunikasjon med og i offentlig sektor.

Bestemmelsene er basert på direktiv 1999/93 EF art. 3 nr 7, som omhandler elektroniske signaturer generelt og ikke bare kvalifiserte elektroniske signaturer. I forarbeidene (Ot prp nr 82 1999-2000) uttaler Nærings- og handelsdepartementet at bestemmelsen i loven § 5 gir anledning til å stille tilleggskrav i forhold til øvrige bestemmelser regulert av loven. På bakgrunn av innspill i høringsrunden bl a om at bestemmelsen ser ut som om det er ”fritt frem til å gi generelle regler på et meget bredt område”, presiserer departementet at direktivets artikkel 3 nr. 7 som bestemmelsene bygger på, legger føringer for hvordan tilleggskravene skal utformes (side 40):

”Kravene som oppstilles i direktivet må gjelde tilsvarende, slik at eventuelle tilleggskrav må være objektive, klare, forholdsmessige og ikke-diskriminerende, og de skal stilles i forhold til det aktuelle anvendelsesområde og de spesielle behov som her gjør seg gjeldende. Det må altså vurderes særskilt i forhold til det aktuelle anvendelsesområde hvorvidt det er nødvendig med tilleggskrav, ut fra særlige behov som der gjør seg gjeldende.”

I tillegg fikk forvaltningsloven ved en lovendring som trådte i kraft 1.1.2002 en ny bestemmelse i § 15a vedrørende elektronisk kommunikasjon:

§ 15a. (elektronisk kommunikasjon)

Kongen kan gi forskrift om elektronisk kommunikasjon mellom

forvaltningen og publikum og elektronisk saksbehandling og kommunikasjon i forvaltningen, herunder nærmere regler om

a) hvilken elektronisk adresse eller informasjonstjeneste som skal benyttes, b) signering, autentisering, sikring av integritet og konfidensialitet,

c) kvittering for mottak av elektroniske meldinger,

d) krav til de produkter, tjenester og standarder som kan benyttes,

e) forvaltningens rett til å sperre for brukere som misbruker data ment for signering, autentisering, sikring av integritet eller konfidensialitet, og om hva som skal regnes som misbruk.

Disse bestemmelsen gir således hjemmel for å stille særskilte krav vedrørende e-ID og e-Signatur i offentlig forvaltning, men ikke i større utstrekning enn hva som er

nødvendig ut fra saklig begrunnede behov.

Lov om elektroniske signaturer § 5 og forvaltningsloven § 15a er hjemmelsgrunnlaget for eForvaltningsforskriften. I eForvaltningsforskriften § 27 Koordinerende organ, er både vurdering av tilgjengelige sikkerhetstjenester og – produkter (evt. i form av en godkjenningsordning) og en ordning med rammeavtaler omhandlet.

§ 27. Koordinerende organ

(1) Kongen kan utpeke et organ som har koordineringsansvar for forvaltningens bruk av sikkerhetstjenester og -produkter ved elektronisk kommunikasjon med og i forvaltningen.

(2) Koordineringsorganet skal utarbeide krav til sikkerhetstjenester og - produkter som anbefales brukt ved elektronisk kommunikasjon med og i forvaltningen. Koordineringsorganet skal også vurdere om tilgjengelige sikkerhetstjenester eller -produkter tilfredsstiller kravene.

(3) Koordineringsorganet kan bestemme at det under tjeneste for

forvaltningsorganer kun skal benyttes sertifikater fra sertifikatutstedere som har inngått rammeavtale om levering av slike tjenester til forvaltningen eller som er anerkjent av koordineringsorganet.

Koordineringsorganet for PKI ble opprettet høsten 2003 som et kollegialt organ, med medlemmer fra ulike departementer. I henhold til mandatet opererte

Koordineringsorganet som et selvstendig fagorgan innenfor rammene av mandatet.

Saker av prinsipielle karakter eller politisk viktighet skulle forelegges departementet.

Sekretariatsfunksjonen lå hos Moderniseringsdepartementet. I henhold til mandatet burde organet møtes minst 6 ganger pr år. Etter det vi har fått opplyst omfattet imidlertid ikke mandatet de oppgaver som fremgår av § 27 nr 2. Dette

Koordineringsorganet er imidlertid nedlagt høsten 2004. Årsaken til det er at et nytt

”Koordineringsorgan for e-forvaltning” er etablert og skal ha sitt første møte 8.12.2004.

Dette nye Koordineringsorganet har en bredere sammensetning og et bredere mandat enn Koordineringsorganet for PKI. Blant annet er etatssjefene til flere store etater medlemmer. Koordineringsorganet for e-forvaltning skal bl a se på samordning av offentlige data, arkitekturspørsmål og tjenesteutvikling. e-Signatur og

autentiseringsspørsmål hører naturlig med i dette organets arbeidsområde, men vi kjenner ikke til om Koordineringsorganet for e-forvaltning også vil få ansvaret for de oppgaver som er angitt i e-Forvaltningsforskriften § 27.

Dersom det opprettes et Koordineringsorgan i henhold til § 27 pålegges dette i § 27 nr 2 å stille krav til sikkerhetstjenester og – produkter som anbefales brukt i forvaltningen og å vurdere om tilgjengelige løsninger tilfredsstiller disse kravene. I Kravspesifikasjonen er det stilt krav og i dokumentet fremgår det, som omhandlet ovenfor, at

Kravspesifikasjonen skal benyttes ved inngåelse av avtaler og at den kan benyttes som grunnlag for en godkjenningsordning. Bestemmelsens 2 punktum som pålegger

Koordineringsorganet å ”vurdere om tilgjengelige sikkerhetstjenester eller – produkter tilfredsstiller kravene”, synes det mest hensiktsmessig å oppfylle i form av en

godkjenningsordning. Alternativt kunne man tenke seg at Koordineringsorganet skulle godkjenne alle avtaler vedrørende anskaffelse av sikkerhetsløsninger til bruk i

forvaltningen, eller at Koordineringsorganet ble involvert i evt. prekvalifiseringer knyttet til anskaffelsesprosessen. Dersom man baserer seg på noen få rammeavtaler vil dette være praktisk mulig å gjennomføre. I tilfelle hver etat selv skal inngå nødvendige avtaler, vil en slik ordning neppe være praktisk gjennomførbar. I tillegg er det grunn til å fremheve at bestemmelsen pålegger Koordineringsorganet å vurdere tilgjengelige løsninger. I høringsbrevet til den forrige forskriften om elektronisk kommunikasjon i og med forvaltningen av 2002.06.28 nr 656 som innholdt en likelydende bestemmelse om Koordinerende organ, heter det følgende:

”Koordineringsorganet skal også vurdere hvorvidt sikkerhetsløsninger som er tilgjengelige i markedet tilfredsstiller de krav organet har stilt. Hensikten er å sikre samvirke mellom løsninger i ulike forvaltningsorgan og å lette

anskaffelsesprosessen for det enkelte organ ved å gjøre krav og vurderinger tilgjengelige. Hensikten er også å sikre forvaltningsorganene fleksibilitet og utvikling i markedet ved at det kan velges mellom ulike løsninger.

Koordineringsorganet kan også iverksette andre koordinerende tiltak.”

På denne bakgrunn er det vår oppfatning at ordningen må innebære at alle løsninger som er tilgjengelige i markedet kan søke om å bli vurdert med hensyn til om de tilfredsstiller kravene for bruk med og i forvaltningen. Bestemmelsen kan således gi hjemmel for etablering av en godkjenningsordning. Det er også tenkelig at det kan etableres andre typer av ordninger som innebærer en vurdering av tilgjengelige løsninger i henhold til § 27. Etter vårt skjønn vil det ikke være tilstrekkelig etter bestemmelsens ordlyd, eller i overensstemmelse med hensikten slik denne er uttrykt i høringsbrevet, at Koordineringsorganet kun godkjenner de løsningene som har nådd opp i konkurransen om konkrete avtaler med offentlige organer.

Etablering av en godkjenningsordning reiser imidlertid en rekke problemstillinger.

Direktiv 1999/93 EF omhandler også godkjenningsordninger, se art. 3:

Artikkel 3 Markedsadgang

1. Medlemsstatene skal ikke gjøre tilbudet om sertifikattjenester avhengig av forhåndsgodkjenning.

2. Med forbehold for bestemmelsene i nr. 1 kan medlemsstatene innføre eller opprettholde frivillige akkrediteringsordninger med sikte på å tilby bedre sertifikattjenester. Alle vilkår i forbindelse med slike ordninger skal være objektive, klare og forholdsmessige og sikre likebehandling. Medlemsstatene kan ikke begrense antallet akkrediterte tilbydere av sertifikattjenester av årsaker som omfattes av dette direktivs virkeområde.

Det vil på bakgrunn av denne bestemmelsen ikke kunne etableres obligatoriske godkjenningsordninger – dvs. at godkjenning er et absolutt krav for å kunne levere sikkerhetsløsninger, generelt eller til offentlig sektor. En frivillig ordning åpner

imidlertid direktivet for. I tilknytning til en konkret anskaffelse kan imidlertid kunden stille krav om at de løsninger som tilbys skal være godkjent.

I et forslag til endring av lov om elektroniske signaturer, sendt på høring av Nærings- og handelsdepartementet våren 2004, foreslås det en uttrykkelig hjemmel for å etablere en frivillig godkjenningsordning. Dette foreslås tatt inn i loven som en ny § 16a, med følgende ordlyd:

Ny § 16 a Frivillige sertifiserings- eller godkjenningsordninger skal lyde:

Departementet kan ved forskrift innføre frivillige sertifiserings- eller godkjenningsordninger. Departementet skal utpeke sertifiserings- eller godkjenningsorgan og kan etablere klageordninger.

Departementet kan i forskrift også fastsette gebyr. Gebyrene må ikke overstige kostnadene ved sertifiserings- eller godkjennelsesorganets virksomhet

For å sikre at bestemmelsene i forskriften blir gjennomført, kan sertifiserings- eller godkjenningsorgan etter første ledd fastsette løpende tvangsmulkt etter utløpet av den frist som er satt for oppfylling av pålegget, inntil pålegget er oppfylt. Organet kan frafalle påløpt tvangsmulkt.

Vedtagelsen av lovendringen er utsatt bl a på grunn av arbeidet i Arbeidsgruppen for PKI i offentlig sektor. Høringsfristen er imidlertid utløpt, og bestemmelsen har også vært sendt på EØS-høring Dette innebærer at man her har mulighet for raskt å vedta en uttrykkelig hjemmel for ved forskrift å etablere en frivillig godkjenningsordning.

Problemstillinger rundt en godkjenningsordning er nærmere drøftet nedenfor i pkt 3.

2.2 Krav til bruk av sikkerhetstjenester og produkter – eForvaltningsforskriften § 4

Det er et prinsipp at elektronisk kommunikasjon mot forvaltninge i utgangspunktet skal kunne skje uten bruk av sikkerhetstjenester og produkter. Dette er uttrykt i § 4 i

eForvaltningsforskriften:

§ 4. Krav til bruk av sikkerhetstjenester og -produkter mv. ved henvendelser til et forvaltningsorgan

(1) Enhver som henvender seg til et forvaltningsorgan ved bruk av elektronisk kommunikasjon i henhold til § 3, kan gjøre det uten bruk av sikkerhetstjenester eller -produkter, med mindre bruk av slike sikkerhetstjenester og -produkter er nødvendig for å oppfylle krav fastsatt i henhold til nr. (2)-(3) nedenfor eller følger av § 5, eller av krav fastsatt i annen lov eller i medhold av lov.

(a) Med sikkerhetstjenester og -produkter menes løsninger for å oppnå bl.a. bekreftelse av partenes identitet eller fullmakter (autentisering), at data ikke utilsiktet eller urettmessig endres (integritet), beskyttelse av informasjon mot innsyn fra

uvedkommende (konfidensialitet), og at det er mulig å dokumentere henvendelser og aktiviteter og hvem som har sendt eller utført dem (ikke-benekting), og andre løsninger, i henhold til forvaltningsorganets sikkerhetsstrategi, jf. § 13. Slike løsninger kan for eksempel være basert på bruk av elektronisk signatur og kryptering.

(b) Med elektronisk signatur menes løsninger som definert i lov om elektronisk signatur

§ 3. Med kryptering menes omforming av data slik at de ikke er rekonstruerbare for uvedkommende. Krypterte data skal kunne rekonstrueres ved dekryptering.

(c) Med krypteringsnøkkel og dekrypteringsnøkkel menes data som benyttes for henholdsvis kryptering og dekryptering.

(2) Forvaltningsorganet kan i det enkelte tilfelle be om opplysninger som bekrefter avsenders identitet eller fullmakter, eller stille krav om at bestemte sikkerhetstjenester og -produkter skal tas i bruk, dersom dette er av betydning for håndtering av henvendelsen.

(3) Forvaltningsorganet kan bestemme at krav som nevnt i nr. (2) ovenfor skal gjelde generelt for nærmere angitte typer av henvendelser. Kravene skal være basert på forvaltningsorganets sikkerhetsstrategi, jf. § 13.

(4) Forvaltningsorganet skal gjøre tilgjengelig sikkerhetstjenester og -produkter som oppfyller de krav forvaltningsorganet har stilt i henhold til nr. (2)-(3)

ovenfor eller anvise hvilke løsninger som ellers kan benyttes. Det samme gjelder for sikkerhetstjenester og -produkter som er nødvendig for å oppfylle kravene i § 5.

I høringsnotatet til gjeldende eForvaltningsforskrift fremgår det at bestemmelsen er noe omformulert i forhold til den forrige forskriften, uten at det tas sikte på innholdsmessige endringer. Prinsippet om at kommunikasjon i utgangspunktet skal skje uten bruk at sikkerhetsløsninger er imidlertid tydeligere uttrykt enn tidligere. Videre heter det følgende:

”Forvaltningsorganets krav til bruk av sikkerhetsteknikker og – produkter skal være gjennomtenkte og grunnet i rettslige krav eller et reelt praktisk behov.

Dette er søkt tydeliggjort i (3) ved å henvise til § 13, om sikkerhetsmål og sikkerhetsstrategi.”

Bestemmelsene pålegger det enkelte forvaltningsorgan å ta stilling til helt konkret i hvilke tilfeller sikkerhetsløsninger skal benyttes og hva slags løsning som vil være tilstrekkelig. Både selve beslutningen om at en søknad, melding, innrapportering, oppslag, dokumentutveksling eller annen handling krever en sikkerhetsløsning, og beslutningen om hvilket sikkerhetsnivå som kreves, må begrunnes i et rettslig krav eller et reelt praktisk behov. I og med at hovedprinsippet er at kommunikasjonen skal kunne skje uten bruk av sikkerhetsløsninger, er det viktig at det legges konkrete vurderinger til grunn og at man ikke pålegger bruk av en sikkerhetsløsning ”for sikkerhets skyld”.

Kravspesifikasjonen Vedlegg 1 omhandler sikkerhetsnivåer. Her er det også tatt med forslag til anvendelsesområder for sikkerhetsnivåene. Dette er et godt utgangspunkt men for å sikre enhetlig praksis mellom ulike forvaltningsorganer bør det vurderes å

bearbeide dette videre, slik at forslagene omfatter flere praktiske anvendelsesområder for søknader, meldinger, innrapporteringer, oppslag, dokumentutveksling og andre handlinger i forhold til forvaltningen og innen forvaltningen hvor bruk av elektronisk kommunikasjon er særlig praktisk. Etter vår oppfatning vil dette være et viktig bidrag for å få forvaltningsorganer i gang med å etablere løsninger for e-ID og e-Signatur og derved indirekte bidra til økt bruk av elektronisk kommunikasjon i og med

forvaltningen. Valg av sikkerhetsløsning er for øvrig ingen statisk vurdering da alt sikkerhetsarbeid må pågå kontinuerlig og som en del av dette må hvert enkelt forvaltningsorgan jevnlig vurdere om de praktiserer en riktig bruk av

sikkerhetsløsninger.

Vedlegg 2 til Kravspesifikasjonen inneholder en vurdering av krav til sikkerhetsnivåer ved elektronisk kommunikasjon med forvaltningen. Her tas det opp flere

problemstillinger som belyser kompleksiteten i å fastsette et riktig sikkerhetsnivå. Det heter i notatet som følger:

”På bakgrunn av dette risikobildet, med angitte begrensede konsekvenser, vil det ved ”normal” forvaltningsutøvelse være tilstrekkelig å stille krav om ”Person- Standard” for identifisering av vedkommende som kontakter forvaltningen.”¹ Som et eksempel er det nevnt at det er uvanlig at en person sender inn en søknad om barnehageplass i en annens navn. Vi finner grunn til å stille spørsmålstegn ved om det er grunnlag for å stille krav om bruk av sikkerhetsløsning for søknad om barnehageplass over hodet. Hvis sikkerhetsløsning må benyttes også for denne type disposisjoner hvor det er svært usannsynlig at andre foretar uautoriserte disposisjoner på søkerens vegne, og konsekvensene hvis så skulle skje er beskjedne, vil det etter vårt skjønn bli få tilfeller igjen hvor hovedprinsippet i eForvaltningsforskriften § 4 om at bruk av

sikkerhetsløsninger ikke er nødvendig ved kommunikasjon med forvaltning, får anvendelse. Krav om bruk av sikkerhetsløsninger vil for mange privatpersoner og private virksomheter kunne fremstå som en barriere for å benytte elektronisk

kommunikasjon med forvaltningen. For å ivareta hensynet til brukervennlighet er det derfor et poeng også å se hen til hvordan brukerne vil oppfatte et krav om bruk av sikkerhetsløsning og det fastsatte sikkerhetsnivået. Når brukerne forstår begrunnelsen for kravet og deler oppfatningen om at dette er nødvendig i forhold til den aktuelle handlingen, vil kravet om sikkerhetsløsning kunne bidra til å fremme bruken av elektronisk kommunikasjon i stedet for å bli oppfattet som en barriere.

Når det gjelder eksempelet om søknad om barnehageplass mener vi at det bør vurderes om ikke dette er en handling som kan foretas elektronisk uten bruk av e-ID eller e- Signatur. Innholdet i søknaden kan imidlertid være av en slik karakter at kryptering bør benyttes, f eks i tilfeller hvor det vedlegges sensitive personopplysninger om

helsemessige forhold, som grunnlag for søknad om en prioritert plass. I slike tilfeller må forvaltningen legge til rette for kryptering. Dette er også i tråd med det som har vært uttrykt i foredrag holdt av Statssekretær Eirik Lae Solberg i den senere tid, bl.a. på Høstseminaret Tele og Data i regi av Nortib på Sundvolden den 27.10.04 (”Det er liten grunn til å tro at noen ville ”fake” en barnehagesøknad”).

1 Vi forstår det slik at begrepet ”normal forvaltningsutøvelse” ikke skal benyttes og at dette avsnittet derfor vil bli endret i Kravspesifikasjonen. Når dette er gjort må sitatet her endres tilsvarende.

Det vil være et ansvar for sentrale myndigheters regelverksforvalter på hvert enkelt område å ta stilling til hvilke disposisjoner innenfor deres felt som krever bruk av en sikkerhetsløsning, og i tilfelle på hvilket sikkerhetsnivå. I forhold til konkrete

disposisjoner vil ansvaret for at kommunikasjonen foregår med tilstrekkelig sikkerhet, ligge på det enkelte forvaltningsorgan. Vi vil imidlertid anbefale at det i tilknytning til det pågående arbeidet for felles løsninger gjøres nærmere vurderinger i forhold til mye brukte søknader og meldinger som egner seg for elektronisk kommunikasjon. Også for andre disposisjoner i forhold til forvaltningen som utføres i stort omfang, bør det utarbeides konkrete anbefalinger om sikkerhetsløsning bør kreves og i så fall om sikkerhetsnivå. F eks klager over enkeltvedtak, eller begjæringer om dokumentinnsyn, er praktiske disposisjoner hvor det bør gis anbefalinger (se også

eForvaltningsforskriften §§ 9 og 10). Her kan imidlertid risikobildet variere ut fra vedtakets eller dokumentenes innhold og det er mulig at generelle anbefalinger derfor ikke kan gis. I så tilfelle bør det gis en anvisning på hvilke forhold forvaltingsorganet som et minimum bør ta i betraktning når beslutninger vedrørende sikkerhetsløsninger skal tas.

2.3 Økonomiske forhold knyttet til etablering og bruk av sikkerhetsløsninger

Det er oppgitt å være en målsetting i det pågående arbeidet at bruk av

sikkerhetsløsninger ved elektronisk kommunikasjon med forvaltningen helst skal være kostnadsfritt for brukere i privat sektor. I tillegg skal det være forutsigbarhet i

driftskostnader for både brukere og forvaltningen. I de forarbeider og utredninger som vi har sett på har vi funnet lite om hvordan disse målsettingene skal nås i praksis. Det synes imidlertid hensiktmessig å skille mellom investeringskostnader og

brukskostnader.

Teoretisk sett kan de økonomiske vurderingene stille seg forskjellig i tilfelle der

elektronisk kommunikasjon med bruk av pålagt sikkerhetsløsning er eneste mulighet for kommunikasjon med et forvaltningsorgan, i forhold til en situasjon der elektronisk kommunikasjon er ett av flere alternativer. I dag er det foreløpig ikke vanlig at et forvaltningsorgan vil pålegge bruk av elektronisk kommunikasjon som eneste

kommunikasjonsform i forhold til private virksomheter og privatpersoner. Dette ville neppe heller vært i samsvar med forvaltningslovens krav til forsvarlig saksbehandling. I eForvaltningsforskriften er det også krav om særskilte samtykke før enkelte

disposisjoner fra det offentlige kan gjennomføres elektronisk, se bl a § 8.1 vedrørende underretning om enkeltvedtak. Det er imidlertid en utvikling på gang, og i utkastet til ny tvistelov er det tatt inn forslag om pålagt bruk av elektronisk kommunikasjon mellom profesjonelle parter (bl a domstolene, påtalemyndigheten og advokater). Denne loven er planlagt å tre i kraft fra 1.1.2007. Vi vil likevel i det følgende legge til grunn at

elektronisk kommunikasjon med det offentlige pr i dag er en av flere kommunikasjonsformer.

Det vil ikke være aktuelt for det offentlige å dekke kostnader til generell maskinvare, programvare, internett-abonnement etc som er nødvendig for at en privatperson skal være i stand til å kommunisere elektronisk. Denne type investeringskostnader må

private borgere og virksomheter dekke selv. Dette notatet omhandler bruk av sikkerhetsløsninger som vil muliggjøre elektronisk kommunikasjon med og i

forvaltningen i langt større omfang. Investeringskostnaden og brukskostnadene antas å være forholdsvis beskjedne.

Et av hovedformålene med elektronisk kommunikasjon med og i forvaltningen er å oppnå effektiviseringsgevinster i den offentlige saksbehandlingen. Etablering av sikkerhetsløsninger som vil øke utbredelsen av elektronisk kommunikasjon antas å bidra til betydelige gevinster. På denne bakgrunn vil det være rimelig at offentlig sektor selv dekker kostnadene knyttet til de sikringstiltak som forvaltningen vurderer som nødvendige. Her kan det være grunn til å skille mellom privatpersoner og private virksomheter, da det for virksomhetene også er grunn til å regne med visse

effektiviseringsgevinster på deres side knyttet til økt elektronisk kommunikasjon med det offentlige.

Et annet hensyn er at det er grunn til å anta at krav om betaling fra brukerne vil oppfattes som lite brukervennlig og forsinke utbredelsen i forhold til om alle sikkerhetsløsninger var gratis både i etablering og bruk.

Videre finner vi grunn til igjen å peke på bestemmelsen i eForvaltningsforskriften § 4 Krav til bruk av sikkerhetstjenester og –produkter mv. ved henvendelser til et

forvaltningsorgan - eForvaltningsforskriften § 4 nr 4 lyder som følger:

(4) Forvaltningsorganet skal gjøre tilgjengelig sikkerhetstjenester og -produkter som oppfyller de krav forvaltningsorganet har stilt i henhold til nr. (2)-(3)

ovenfor eller anvise hvilke løsninger som ellers kan benyttes. Det samme gjelder for sikkerhetstjenester og -produkter som er nødvendig for å oppfylle kravene i § 5.

Å ”gjøre tilgjengelig” kan forstås slik at sikkerhetstjenestene og - produktene også skal være vederlagsfrie. Vi kan ikke se at vederlagsspørsmålet er adressert i høringsnotatene til denne bestemmelsen, verken til den forrige eller til den nåværende forskriften. Vi har også fått opplyst at det ikke var meningen å regulere vederlagsspørsmålet i denne

bestemmelsen. Det kan derfor være for vidtrekkende å tolke bestemmelsen dit hen at det offentlige må dekke både etablerings- og driftsomkostninger for bruk av

sikkerhetsløsninger. Men dersom bestemmelsen likevel må forstås slik at sikkerhetsløsningene skal være vederlagsfrie, finner vi grunn til å peke på at

bestemmelsen gjelder i forhold til ”enhver” som henvender seg til et forvaltningsorgan.

Det vil i så tilfelle derfor ikke være grunnlag i denne bestemmelsen for å tilby sikkerhetsløsninger vederlagsfritt til privatpersoner, men mot vederlag til private virksomheter.

Ut fra drøftelsen ovenfor kan vi ikke konkludere med at etablering og bruk av

sikkerhetsløsninger i enhver sammenheng må være gratis for privatpersoner og private virksomheter. Dette har heller ikke vært praksis. F eks i helsesektoren har legekontorene selv måttet betale kostnader knyttet til de sikkerhetsløsninger som har vært pålagt for å bli tilknyttet nasjonalt helsenett, men tilskuddsordninger finnes. Når Lånekassen nå skal ta i bruk PKI for signering av gjeldsbrev, må studentene selv dekke kostnadene til anskaffelse av kort og kortleser. Dette vil være en engangs etableringskostnad da sikkerhetsløsningen vil være vederlagsfri i bruk for studentene.

Vi har ikke vurdert i hvilken utstrekning det på ulike forvaltningsområder kan foreligge hjemmel for offentlig sektor til å pålegge private å dekke de kostnader som er forbundet med oppfyllelse av rapporteringsplikter og andre krav til samhandling. Dette vil særlig være aktuelt i forhold til private virksomheter som har mer omfattende forpliktelser i så henseende.

Etter vår oppfatning vil de økonomiske forholdene ha betydning for utbredelse av løsningene. Vi vil derfor anbefale at det gjennomføres en kost-/nyttevurdering av flere scenarier med ulik grad av kostnadsdekning fra det offentliges side. Samtrafikk mellom alle leverandører av sikkerhetsløsninger hvor det er aktuelt med en samhandling er en målsetting og et viktig virkemiddel for å ivareta hensynene til brukervennlighet, flerbruk og konkurranse. Hvilke kostnader krav om samtrafikk vil medføre, og vurdering av ulike modeller for prising av samtrafikk, bør også inkluderes i en økonomisk utredning.

De økonomiske forholdene, bl a knyttet til samtrafikk, har også betydning ved vurdering av hvilke avtalemodeller som skal etableres. Dette gjelder både de totale kostnadene knyttet til etablering og drift av løsningene, samt prisstrukturen. Er det mulig å oppnå en fast pris for etablering og deretter en fast pris pr år for hele eller deler av offentlig sektor? Er en abonnementspris pr etat en egnet prismodell eller vil kanskje transaksjonsprising gi de økonomisk sett mest gunstige avtalene? Ofte vil hensynet til forutberegnelighet med hensyn til kostnadene stå i motstrid til en transaksjonsmodell hvor enhetsprisen kan være svært lav mens de totale kostnadene er svært vanskelig å anslå. Etter vår vurdering er det behov for en bredere utredning av økonomiske forhold, herunder av forskjellige prismodeller, som et ledd i arbeidet med å utvikle egnede avtalemodeller.

Videre er det et spørsmål om økonomiske forhold skal tas med i en evt.

godkjenningsordning. Som omhandlet ovenfor i pkt 2.1 vedrørende lov om elektroniske signaturer § 5, må de tilleggskrav som stilles for bruk i offentlig sektor være objektive, klare, forholdsmessige og ikke-diskriminerende. Videre må kravene stilles i forhold til det aktuelle anvendelsesområde og de spesielle behov som her gjør seg gjeldende. I og med at godkjenningsordningen må være frivillig kan det ikke stilles konkrete

økonomiske krav i forbindelse med en godkjenning. Mer generelle krav knyttet til det økonomiske, som f eks at løsninger til det offentlige i pris skal være konkurransedyktige med leverandørens ytelser til privat sektor, og at leverandøren skal kunne tilby ulike prismodeller, må kunne stilles som vilkår for å bli vurdert til å tilfredsstille kravene for bruk med og i forvaltningen. Man kan f eks tenke seg at det i søknadsskjemaet er angitt ulike prismodeller og at leverandøren krysser av for hvilke han kan tilby.

2.4 Noen relevante problemstillinger i forhold til anskaffelsesregelverket

Anskaffelsesregelverket må selvsagt følges i forhold til alle anskaffelser av sikkerhetsløsninger og tilknyttede produkter og tjenester. Dette innebærer bl a at anskaffelser over terskelverdiene må utlyses i hele EØS-området. I dette punktet vil vi kort peke på tre problemstillinger av betydning i forhold til anskaffelsesregelverket

• Kan kravspesifikasjonen begrenses til kun å omfatte PKI?

• Gjelder det anskaffelser av varer og/eller tjenester?

• Bruk av rammeavtaler og særlig parallelle rammeavtaler

2.4.1 Kan kravspesifikasjonen begrenses til kun å omfatte PKI?

I Kravspesifikasjonen pkt 1.1 heter det i første setning:

”Dette dokumentet er en overordnet, funksjonell kravspesifikasjon for anskaffelse av PKI (Public Key Infrastructure) til bruk i forbindelse med elektronisk kommunikasjon med og i offentlig sektor.”

Vi kan ikke se at PKI er definert nærmere i dokumentet, men i Ot.prp nr 82 (1999-2000) Lov om elektronisk signatur er begrepet forklart på følgende måte (fotnote nr 3 på side 12):

”Public Key Infrastructure (PKI) er en samling infrastrukturer (datasystemer, distribusjonssystemer og rutiner) som eksisterer med det formål å generere, tilbakekalle, sende ut og på andre måter håndtere offentlige nøkkelsertifikater.”

På denne bakgrunn finner vi grunn til å reise problemstillingen om PKI er å anse som en bestemt teknologi? I så tilfelle kan det være problematisk i forhold til

anskaffelsesregelverket å spesifisere i dokumentasjonen som legges til grunn for utlysningen og konkurransen at det er PKI som skal anskaffes.

Utgangspunktet for problemstillingen er de grunnleggende krav til offentlige

anskaffelser i Lov om offentlige anskaffelser § 5. Følgende fremgår av lovens § 5 4.

og 5 ledd:

”Utvelgelse av kvalifiserte anbydere og tildeling av kontrakter skal skje på grunnlag av objektive og ikke diskriminerende kriterier

Oppdragsgiver skal ikke:

b. bruke standarder og tekniske spesifikasjoner som et virkemiddel for å hindre konkurranse”

I forskrift om offentlige anskaffelser § 5-1 nr 1a) vedrørende krav til konkurransegrunnlaget, er det spesifisert at:

”Anskaffelsen bør spesifiseres ved en behovsspesifikasjon eller angivelse av funksjonskrav”.

Forholdet er videre regulert i forskrift om offentlige anskaffelser § 5-2 Bruk av tekniske spesifikasjoner og er utviklet videre i EU-retten. Forskriften § 5-2 nr 2 anser vi som særlig relevant i denne saken:

§ 5-2. Bruk av tekniske spesifikasjoner

(2) Det kan ikke benyttes tekniske spesifikasjoner som omtaler varer av et bestemt fabrikat eller opprinnelse, eller angir en særlig produksjonsmetode, dersom dette favoriserer enkelte foretak. En slik spesifikasjon kan likevel foretas når kontraktsgjenstanden berettiger det. Det er heller ikke tillatt å angi

varemerker, patenter eller typer. Kan kontraktsgjenstanden ikke beskrives tilfredsstillende på annen måte, er det likevel tillatt å bruke slik angivelse når den er ledsaget av ordene «eller tilsvarende».

Selv om denne bestemmelsen omhandler ”varer” i første punktum, er ikke bestemmelsen og prinsippene som ligger til grunn for denne avgrenset mot

tjenestekontrakter. I sak 2003/93 har KOFA forutsatt at forskriften § 12-2 nr 2 som har den samme ordlyden men gjelder for anskaffelser etter kap III (under terskelverdiene og uprioriterte tjenester), har relevans i en sak som gjaldt tjenesten ”kjemikaliefri

slamtømming”. Det vises også til definisjonene i forskriften § 1-4 p) som definerer hva som skal anses som tekniske spesifikasjoner for henholdsvis varekontrakter,

tjenestekontrakter samt bygge- og anleggskontrakter. Vi finner videre grunn til å peke på at det nye EU-direktivet vedrørende offentlige anskaffelser, art 23 Tekniske

spesifikasjoner i nr 8 har en nøytral ordlyd:

"Med mindre kontraktens gjennstand gjør det berettiget, må de tekniske

spesifikasjoner ikke angive et bestemt fabrikat, en bestemt opprindelse eller en bestemt fremstillingsproces…."

På denne bakgrunn vil vi stille spørsmål om PKI er å anse som en ”særlig

produksjonsmetode” eller på annen måte er å anse som en teknisk spesifikasjon som omfattes av bestemmelsene i forskriften § 5-2. Er det f eks patenter knytter til deler av en PKI-løsning? Vi har ikke den tekniske kompetansen som er nødvendig for å foreta en kvalifisert vurdering av problemstillingen. Forbudet gjelder i tilfeller hvor bruken av de tekniske spesifikasjonene favoriserer enkelte foretak. Ved vurderingen av om enkelte foretak blir favorisert, vil en ”de facto” favorisering være av betydning, selv om det teoretisk sett vil være mulig for andre å utvikle tilsvarende løsninger. I rettspraksis fra EU-retten har det blitt fremhevet at bestemmelsene retter seg mot tilfeller hvor

oppdragsgiver oppstiller krav i den hensikt å velge ut en eller flere bestemte

virksomheter. Dersom PKI skulle være basert på elementer som er proprietære vil det etter vårt skjønn klart være en favorisering av de foretak som besitter disse rettighetene.

Det må således foretas en vurdering av om avgrensningen til PKI i Kravspesifikasjonen er problematisk i forhold til forskriften § 5-2. § 5-2 nr 2 tillater likevel å benytte

tekniske spesifikasjoner når kontraktsgjenstanden berettiger det. Hvorvidt det er særlige forhold ved sikkerhetsløsninger til bruk i og med offentlig sektor som berettiger at det stilles krav om PKI, må derfor også vurderes. Hvis så er tilfelle bør forholdet begrunnes i kravspesifikasjonen. Dersom man kommer frem til at det er eller kan være

problematisk å stille krav om PKI, må kravspesifikasjonen omarbeides slik at den blir teknologinøytral før noen anskaffelsesprosess igangsettes. Dette vil gjelde all generell tekst hvor PKI benyttes som begrep. Videre må formulering av alle kravene vurderes.

PKI kan likevel benyttes som eksempel, men det må da fremgå at det kun er et

eksempel og at alternative teknologier også kan tilbys. I praksis kan dette gjøres ved å benytte begrepet ”PKI eller tilsvarende”. Prinsippet om teknologinøytralitet gjelder selv

om man antar at de aktuelle kravene kun kan oppfylles ved PKI. Svært forenklet kan man si at teknologivalget ikke skal avgrenses i tilbudsforespørselen, men avgjøres på grunnlag av de tilbudene man får fra markedet.

Vi vil også peke på at prinsippet om teknologinøytralitet er uttrykt i fortalen til direktiv 1999/93 EF pkt 8:

”Den raske teknologiske utviklingen og Internetts globale karakter gjør det nødvendig å velge en framgangsmåte som åpner for forskjellig teknologi og forskjellige tjenester som muliggjør elektronisk autentisering av data.”

Det kan nevnes at denne problemstillingen har vært relevant i Justisdepartementets nødnettprosjekt. I utgangspunktet vurderte man da en utlysning basert på teknologien

”TETRA”. Etter en grundig vurdering av forskriftens bestemmelser om bruk av standarder og tekniske spesifikasjoner, og praksis fra EU i tilknytning til tilsvarende bestemmelser i direktivene om offentlige anskaffelser, kom man frem til at utlysningen måtte være teknologinøytral. Anskaffelse av et nødnett, slik denne nylig er gitt

tilslutning til fra Stortinget, vil derfor skje ut fra en teknologinøytral kravspesifikasjon, der TETRA er benyttet som referanseteknologi på enkelte punkter.

2.4.2 Vare- og/eller tjenesteanskaffelse

Kravspesifikasjonen bruker begrepet ”løsning” eller ”produkter og tjenester”. Forskrift om offentlige anskaffelser skiller mellom ”varekontrakter” og ”tjenestekontrakter” og definerer dem som følger i § 1-4:

b. varekontrakt: kontrakt som omhandler kjøp, avbetalingskjøp, leasing eller leie med eller uten rett til kjøp av varer. Levering av slike varer kan i tillegg omfatte

monterings- og installasjonsarbeid.

d. tjenestekontrakt: kontrakter som gjelder prioriterte og uprioriterte tjenester angitt i § 2-4 (prioriterte tjenester) og § 2-5 (uprioriterte tjenester).

I Kravspesifikasjonen pkt 2.1 er det listet opp hva en samlet PKI-løsning kan omfatte:

• En sertifikatutsteder (SA) som utsteder og verifiserer digitale sertifikater

• En registreringsautoritet (RA) som verifiserer opplysninger som skal inngå i et sertifikat før det utstedes (eller ved utlevering)

• Katalog – og oppslagstjenester

• Løsninger, for eksempel programpakker, som på en enkel måte gjør PKI- funksjonaliteten tilgjengelig og som kan integreres med Kundens endesystemer

• Samspill og samtrafikk

Etter vår forståelse er dette i all hovedsak å anse som tjenester. Nest siste punkt – løsninger, f eks programpakker, vil imidlertid være å anse som varer. Anskaffelser som gjelder både varer og tjenester, skal anses som en varekontrakt dersom verdiene av

varene er høyere enn verdien av tjenestene, og som en tjenestekontrakt dersom verdiene av tjenestene er høyest (se forskrift om offentlige anskaffelser § 2-6). Ved utlysning av anskaffelse av sikkerhetsløsninger samlet, vil vi anta at verdien av de angitte tjenestene vil være høyest, og anskaffelsen kan da foretas som en tjenestekontrakt. Dette vil også være å anse som prioriterte tjenester, jf § 2-4 nr 7 EDB og beslektede tjenester. Det vil således være bestemmelsene for inngåelse av kontrakter om prioriterte tjenester som skal benyttes.

Kun i tilfelle hvor anskaffelse av løsninger i form av programpakker eller andre produkter skal finne sted separat, vil det etter vårt skjønn være nødvendig å følge reglene for varekontrakter.

2.4.3 Rammeavtaler generelt og parallelle rammeavtaler spesielt Det heter i Kravspesifikasjonen at det tas sikte på å inngå en eller flere rammeavtaler med en eller flere tilbydere. Videre er det en uttalt målsetting å utnytte dynamikken og tilbudet i markedet på en samfunnsøkonomisk sett mest effektiv måte, bl a ved å bidra til at konkurransen i markedet opprettholdes. For å ivareta hensynet til brukervennlighet er det forutsatt at den e-ID som en bruker vil anskaffe skal gi størst mulig nytte og skal kunne brukes mot flest mulige elektroniske tjenester. For å ivareta disse hensynene vil det etter vårt skjønn være nødvendig at offentlig sektor inngår avtaler med flest mulig av tilbyderne av sikkerhetsløsninger i markedet. Dersom man velger en modell med rammeavtaler, vil dette fort kunne resultere i parallelle rammeavtaler for de

sikkerhetsnivåer og løsninger hvor det finnes flere tilbydere. Bruk av rammeavtaler og spesielt parallelle rammeavtaler, innebærer en del utfordringer i forhold til

anskaffelsesregelverket. Vi vil i det følgende illustrere hva vi mener med begrepene og hva som er problemstillingene.

Figur 1:

Rammeavtale

Område: for eksempel autentiseringstjeneste Kunde, feks

moderniserings departementet

Leverandør

ORDINÆR RAMMEAVTALE

Avrop og betaling Offentlig

etat Instruksjonsrett, fullmakt

Offentlig etat

Offentlig etat

Offentlig etat Offentlig

etat Avrop og betaling

Avrop og betaling

Avrop og betaling Avrop og betaling Avrop og betaling

Offentlig etat

Figur 1 illustrerer en ordinær rammeavtale. Rammeavtalen er inngått mellom Kunden (her MOD som eksempel) og Leverandøren. Avrop og betaling skjer imidlertid direkte mellom den enkelte etat og Leverandøren. De etater som skal kunne gjøre avrop under en rammeavtale, må enten være underlagt Kundens instruksjonsmyndighet eller på forhånd ha gitt Kunden fullmakt til å inngå rammeavtalen på etatens vegne.

Rammeavtalen inngås typisk etter anbudskonkurranse eller evt. forhandlinger i hh t anskaffelsesregelverket, mens det enkelte avrop skjer direkte i forhold til Leverandøren i hh t enkle prosedyrer som fremgår av selve rammeavtalen.

Rammeavtalers forhold til anskaffelsesregelverket er imidlertid omstridt. Dette er fordi en rammeavtale typisk vil være en avtale som er ensidig bebyrdende for Leverandøren, men som ikke innebærer noen kjøpsplikt for Kunden. Det er først når det gjøres et avrop under rammeavtalen at det oppstår en forpliktelse for den som har foretatt avropet og derved et gjensidig bebyrdende kontraktsforhold. Ofte kan også andre enn det

forvaltningsorganet som inngikk rammeavtalen (Kunden) være berettiget til å gjøre avrop. Dette kan være etater eller organer som er underlagt instruksjonsmyndighet fra det organet som inngikk avtalen. Eller det kan være andre som i forkant av at

rammeavtalen ble inngått ga fullmakt til Kunden om å inngå en rammeavtale som også de kan benytte seg av. Det må i tillegg være regulert i rammeavtalen hvem som er berettiget til å gjøre avrop.

Forskrift om offentlige anskaffelser regulerer gjensidig bebyrdende kontrakter, og det er i slike tilfeller forskriftens regler for inngåelse av kontrakt må følges. Dette innebærer i prinsippet at en rammeavtale som ikke er gjensidig bebyrdende kan inngås uten å følge forskriftens krav, mens alle avrop under rammeavtalen må følge

anskaffelsesregelverket. I praksis er det ikke slik rammeavtaler blir brukt – i stor

utstrekning blir rammeavtaler inngått i henhold til prosedyrene i forskriften, også når de ikke innebærer noen konkret kjøpsforpliktelse for Kunden, og hvert avrop foretas deretter direkte overfor Leverandøren. I Nærings- og Handelsdepartementets veileder til forskriften er problemstillingen omhandlet som følger:

Et eksempel på dette vil være at leverandøren forplikter seg til å levere vare A til oppdragsgiver på bestemte vilkår, dersom oppdragsgiver i avtaleperioden ber om det.

Oppdragsgiver på sin side kan fritt bestemme om han vil gjøre bruk av denne retten.

Dersom det er sannsynlig at rammeavtalen vil bli benyttet, og omfanget av de innkjøp som skal gjøres er tilstrekkelig klart for leverandørene i markedet, vil antagelig rammeavtalen kunne anses for en gjensidig bebyrdende kontrakt. Det vil si at inngåelsen av avtalen skal skje etter regelverkets prosedyrer. De enkelte avropene kan på sin side gjøres uavhengig av regelverket.

Både langvarige og svært omfattende rammeavtaler kan bli ansett for å være i strid med det grunnleggende prinsipp om konkurranse om leveranser til det offentlige. Antallet potensielle leverandører kan bli reduserte fordi det i lange perioder er få kontrakter å konkurrere om. I veilederen uttaler derfor NHD at rammeavtaler som en hovedregel ikke bør ha lengre varighet enn 3-4-år.

Figur 2:

Rammeavtale

Område:

autentiseringstjeneste Kunde, feks

moderniserings departementet

Leverandør 1

PARALLELLE RAMMEAVTALER

Avrop og betaling Offentlig

etat Instruksjonsrett, fullmakt

Offentlig etat

Offentlig etat

Offentlig etat Offentlig

etat

Avrop og betaling

Avrop og betaling

Avrop og betaling

Avrop og betaling

Offentlig etat

Leverandør 2

Leverandør 3

Kun lovlig uten

utlysning av avrop hvis det fastsettes en fordelingsnøkkel mht kjøp fra de ulike leverandørene.

Figur 2 illustrerer flere parallelle rammeavtaler. Med dette mener vi tilfeller hvor den samme Kunden har inngått rammeavtale med samme virkeområde med flere

leverandører. Rammeavtalen er inngått mellom Kunden (her MOD som eksempel) og 3 forskjellige Leverandører av den samme tjenesten. Avrop og betaling skjer også her direkte mellom den enkelte etat og den Leverandøren som etaten foretar avrop hos. De etater som skal kunne gjøre avrop under en av rammeavtalene, må enten være underlagt Kundens instruksjonsmyndighet eller på forhånd ha gitt Kunden fullmakt til å inngå rammeavtalene på etatens vegne – tilsvarende som for en ordinær rammeavtale. Også her er det typisk at alle de tre rammeavtalene inngås etter anbudskonkurranse eller evt.

forhandlinger i hh t anskaffelsesregelverket, mens det enkelte avrop skjer direkte i forhold til en av Leverandørene.

Det blir hevdet at de aktuelle leverandørene for sikkerhetsløsninger til offentlig sektor har ulike brukerpopulasjoner og at det derfor ikke vil være parallellitet mellom avtalene.

Utgangspunktet for å vurdere parallellitet er imidlertid de ytelsene som kunden

anskaffer og de kravene som stilles til disse ytelsene. Dvs. at det vil foreligge parallelle rammeavtaler i tilfeller hvor det inngås rammeavtale med flere leverandører basert på de samme funksjonelle krav og med det samme formålet. Formålet vil her være å levere sikkerhetsløsninger på det aktuelle sikkerhetsnivået. Vi kan derfor ikke se at det i denne sammenhengen er relevant at leverandørene har ulik brukerpopulasjon. Spørsmålet er imidlertid så vidt vi kan se ikke adressert i NHD’s veiledning tilforskriften eller i juridisk teori.

Parallelle rammeavtaler reiser særskilte problemstillinger og i følge veilederen vil det måtte bero på en konkret vurdering om de aktuelle avtalene er i samsvar med

regelverket. Det er særlig i tilfeller der man ønsker å foreta avrop under flere av rammeavtalene at situasjonen er problematisk. I veilederen tas det til orde for at man i så tilfelle på forhånd fordeler de samlede kjøp som skal gjøres hos den enkelte

leverandør. Dette vil sikre at kravene til forutberegnelighet, gjennomsiktighet og etterprøvbarhet ivaretas gjennom anskaffelsesprosessen og det vil da trolig være

anledning til å foreta avrop i henhold til den fastsatte fordelingsnøkkel ved direkte kjøp, forutsatt at alle rammeavtalene er inngått og fordelingsnøkkelen er fastsatt i en prosess som har fulgt anskaffelsesregelverket.

Etter vår vurdering vil det neppe la seg gjøre å fastsette en fast fordelingsnøkkel dersom det inngås parallelle rammeavtaler vedrørende sikkerhetsløsninger. For å kunne fastsette en fast fordelingsnøkkel som gir både leverandørene og deres konkurrenter

forutberegnelighet, må det totale omfanget av kjøp under rammeavtalene kunne beregnes slik at man ut fra det kan foreta en fordeling. Hvis tanken er at det er den enkelte offentlige virksomhet som skal foreta avrop, vil disse være interessert i å gjøre avrop på den eller de løsninger som er mest utbredt blant vedkommende etats brukere.

Det er lite sannsynlig at dette kan kartlegges på tidspunktet for inngåelse av rammeavtalene.

Dersom det ikke fastsettes en fordelingsnøkkel mellom leverandørene etter de parallelle rammeavtalene blir konsekvensen at hvert enkelt avrop må skje i henhold til

anskaffelsesregelverkets prosedyreregler. Da vil poenget med å inngå rammeavtalene bortfalle.

Problemstillingene knyttet til rammeavtaler og parallelle rammeavtaler er ikke adressert i loven eller forskriften om offentlige anskaffelser. Reglene har utviklet seg gjennom praksis både i EU og EØS, og Klageorganet for Offentlige Anskaffelser (KOFA) vurderer også rammeavtaler og parallelle rammeavtaler som angitt ovenfor.

I ”Letter of formal notice” av 11.9.2002 uttaler ESA at Forvaltningsnettsamarbeidet og de rammeavtalene som inngikk her, ikke var i henhold til regelverkets krav.

Forvaltningsnettsamarbeidet hadde parallelle rammeavtaler, men det var her etablert en ordning med forenklet konkurranse som skulle benyttes ved kjøp på rammeavtalene.

Etter ESA’s oppfatning var ikke dette tilstrekkelig og avrop under disse avtalene skulle skje i henhold til forskriftens bestemmelser om inngåelse av kontrakter. Det ble aldri truffet noen endelig avgjørelse i denne saken da Forvaltningsnettsamarbeidet kort etter ble nedlagt.

31. mars 2004 ble det vedtatt et nytt EU-direktiv om samordning av fremgangmåte ved inngåelse av offentlige varekontrakter, offentlige tjenestekontrakter og offentlige bygge- og anleggskontrakter – dvs et nytt direktiv om offentlige anskaffelser innenfor klassiske sektorer. Direktivet er foreløpig ikke implementert i norsk rett, men planen er at dette skal gjøres med ikrafttredelse fra 1.1.2006.

Det nye direktivet inneholder i artikkel 32 bestemmelser om rammeavtaler. Det fastslås at rammeavtaler normalt høyst må gjelde for en periode på 4 år og at det ikke er

anledning til å foreta vesentlige endringer av avtalevilkårene i forbindelse med avrop.

I forhold til ordinære rammeavtaler med én leverandør, er hovedregelen etter direktivet at avrop kan skje i henhold til prosedyrer fastsatt i rammeavtalen, forutsatt at selve rammeavtalen er inngått i henhold til anskaffelsesregelverket. I tillegg er det anledning til å be leverandøren om å komplettere sitt tilbud før avrop foretas.

Art 32 nr 4 regulerer parallelle rammeavtaler. Det heter her at det i slike tilfeller normalt skal inngås rammeavtaler med minst 3 leverandører. Avrop under disse parallelle

rammeavtalene kan skje på to måter. Avrop kan enten skje uten konkurranse, på vilkår som er fastsatt i selve rammeavtalen. Så vidt vi forstår innebærer dette at det må være fastsatt en fordelingsnøkkel. Alternativt kan avrop skje ved en fornyet konkurranse mellom partene. Dette er en forenklet konkurranse i forhold til anskaffelsesregelverkets generelle regler og det er i bestemmelsen gitt anvisning på hvordan konkurransen skal gjennomføres.

På bakgrunn av det ovenstående vil vi anbefale et det utvises forsiktighet med bruk av rammeavtaler i forbindelse med anskaffelser av sikkerhetsløsninger. Dersom det skal inngås rammeavtale med kun én leverandør for hvert anvendelsesområde for

sikkerhetsløsningene, og det er sannsynlig at rammeavtalen vil bli benyttet, vil det være mulig å inngå selve rammeavtalen i henhold til anskaffelsesregelverket og å foreta avrop direkte overfor leverandøren etter bestemmelser nedfelt i rammeavtalen. Når det gjelder parallelle rammeavtaler er vi av den oppfatning at dette pr i dag må unngås med mindre man kan fastsette en fast fordelingsnøkkel for avrop mellom de forskjellige leverandørene. Det er sannsynlig at det etter revisjon av regelverket om offentlige anskaffelser vil bli åpnet opp for bruk av parallelle rammeavtaler i større grad, men dette vil ikke være på plass før i 2006. Slik direktivet er utformet vil det heller ikke da bli fritt frem for å gjøre direkte kjøp fra en av leverandørene.

3. Godkjenningsordning?

Som omhandlet i pkt 2.1 ovenfor åpner både direktiv 1999/93 EF og

eForvaltningsforskriften for at det kan etableres en frivillig godkjenningsordning for sikkerhetsløsninger. eForvaltningsforskriftens utgangpunkt er at Koordineringsorganet skal vurdere om tilgjengelige sikkerhetstjenester og produkter tilfredsstiller de krav som stilles for bruk av elektronisk kommunikasjon i og med forvaltningen. I forskriften og høringsbrevet er det ikke gitt nærmere anvisninger om hvordan dette er tenkt

gjennomført. En måte å gjøre dette på vil være i form av en godkjenningsordning som innebærer at alle leverandører i markedet kan søke om å få sine tjenester og produkter godkjent. Direktivet gir anvisning på at det på visse vilkår kan etableres en ”frivillig akkrediteringsordning”. Den foreslåtte nye bestemmelsen i lov om elektroniske signaturer § 16a gir hjemmel for at departementet ved forskrift kan innføre frivillige sertifiserings- eller godkjenningsordninger.

Det er imidlertid en rekke spørsmål som reiser seg i forbindelse med etablering av en godkjenningsordning – bl a om hvilke begrensninger direktivet innebærer, varighet og konsekvenser av en godkjenning, prosedyrene knyttet til en godkjenning og

organisatoriske spørsmål som bl a hvem som skal utføre oppgavene knyttet til godkjenning.

Det er også et spørsmål om det er de tekniske løsningene eller leverandørene av disse som er subjektet for en godkjenning. Ut fra formuleringene i eForvaltningsforskriften § 27 nr 2 fremstår det som om det er selve løsningene (sikkerhetstjenestene og/eller sikkerhetsproduktene) som skal gjøres til gjenstand for en vurdering. I så tilfelle er det rettighetshaver til løsningen, eller den han bemyndiger, som kan søke om godkjenning.

Ut fra den Kravspesifikasjonen som er utarbeidet vil det også fremstå som naturlig at det er løsningen som gjøres til gjenstand for vurdering i forbindelse med en

godkjenning, mens den nærmere vurdering av leverandørene foretas i den enkelte anskaffelsen. Direktivet omtaler imidlertid ”akkrediterte tilbydere av sertifikattjenester”

og synes således å legge opp til en godkjenning av den enkelte leverandør. Forutsatt at vilkårene for godkjenningen er objektive, klare, forholdsmessige og sikrer

likebehandling bør det være grunnlag for å etablere en godkjenningsordning som omfatter den enkelte leverandør og de løsninger han tilbyr. Den foreslåtte hjemmelen for å innføre frivillige godkjenningsordninger i den nye § 16a i lov om elektroniske signaturer, er etter sin ordlyd generell og gir derfor grunnlag for å etablere ordninger hvor man godkjenner løsningene som sådanne, eller i kombinasjon med leverandører.

Dersom det etableres en godkjenningsordning bør en liste over de til enhver tid

godkjente leverandører og de løsningene disse tilbyr, være publisert og lett tilgjengelig.

Listen må holdes løpende oppdatert.

3.1 Direktivets krav til en godkjenningsordning Direktivet art. 3. nr 1 forbyr medlemslandene å etablere obligatoriske godkjenningsordninger for sikkerhetsløsninger.

Artikkel 3 Markedsadgang

1. Medlemsstatene skal ikke gjøre tilbudet om sertifikattjenester avhengig av forhåndsgodkjenning.

I fortalen til direktivet er dette begrunnet med hensynet til fri tjenesteutøvelse innenfor det indre marked. En obligatorisk nasjonal godkjenningsordning blir ansett som en handelshindring og er derfor ikke tillatt. Videre er det presisert hva som menes med en forhåndsgodkjenning (se fortalen pkt 10):

”Med «forhåndsgodkjenning» menes ikke bare enhver tillatelse hvis utstedelse forutsetter at nasjonale myndigheter treffer en beslutning før den berørte

tilbyderen av sertifikattjenester kan yte sine sertifikattjenester, men også ethvert annet tiltak med samme virkning.”

Dette må forstås slik at det heller ikke vil være anledning til å stille et generelt krav om godkjenning for levering av sikkerhetsløsninger til offentlig sektor.

Såkalte frivillige akkrediteringsordninger er likevel tillatt. Følgende definisjon fremgår av artikkel 2 nr 13:

«frivillig akkreditering», enhver tillatelse som fastsetter rettigheter og

forpliktelser for yting av sertifikattjenester, som skal utstedes på anmodning fra den berørte tilbyder av sertifikattjenester av det offentlige eller private organ som er pålagt å utarbeide og føre tilsyn med overholdelsen av slike rettigheter og forpliktelser, og der tilbyderen av sertifikattjenester ikke er berettiget til å utøve de rettighetene som tillatelsen gir, før vedkommende har mottatt organets beslutning.

I fortalen er slike frivillige akkrediteringsordninger omtalt som ordninger som tar sikte på å fremme utviklingen av optimal praksis blant dem som tilbyr sertifikattjenester og at de således tar sikte på å bedre tjenesteyting og utvikling av tjenester i retning av det tillits-, sikkerhets og kvalitetsnivå som et marked i utvikling krever. Videre heter det at medlemsstatene ikke bør hindre aktører i å drive virksomhet utenfor slike frivillige ordninger og at ordningene ikke må svekke konkurransen.

Mer konkret uttrykker artikkel 3 nr 2 følgende:

”2. Med forbehold for bestemmelsene i nr. 1 kan medlemsstatene innføre eller opprettholde frivillige akkrediteringsordninger med sikte på å tilby bedre sertifikattjenester. Alle vilkår i forbindelse med slike ordninger skal være objektive, klare og forholdsmessige og sikre likebehandling. Medlemsstatene kan ikke begrense antallet akkrediterte tilbydere av sertifikattjenester av årsaker som omfattes av dette direktivs virkeområde.”

Det er således en forutsetning at alle vilkår for å bli akkreditert er basert på objektive, klare og forholdsmessige vilkår som skal sikre likebehandling. Ut fra dette kan det ikke være noe i veien for å etablere en frivillig godkjenningsordning som består i en

vurdering av om kravene som er stillet til sikkerhetsløsninger for bruk i forbindelse med elektronisk kommunikasjon med og i forvaltningen er opprettholdt. Det må være åpent også for utenlandske aktører å søke om godkjenning. I en konkret anskaffelse kan imidlertid Kunden stille vilkår om at alle tilbudte løsninger skal være godkjent i hh t den frivillige godkjenningsordningen.

I tillegg til dette er det en særskilt bestemmelse om tilsyn med aktører som utsteder kvalifiserte sertifikater til offentligheten. Dette er bakgrunnen for bestemmelsene i lov om elektronisk signatur § 9 om godkjennelse av sikre signaturfremstillingssystemer.

Direktivet innfører videre en særskilt varslingsplikt, som innebærer at medlemslandene skal underrette Kommisjonen og hverandre om nærmere angitte forhold.

Artikkel 11 Underretning

1. Medlemsstatene skal underrette Kommisjonen og de øvrige medlemsstatene om følgende:

a) opplysninger om frivillige nasjonale akkrediteringsordninger, herunder alle tilleggskrav i henhold til artikkel 3 nr. 7,

b) navnet og adressen til nasjonale akkrediterings- og tilsynsorganer samt til organene nevnt i artikkel 3 nr. 4 og

c) navnet og adressen til samtlige akkrediterte nasjonale tilbydere av sertifikattjenester.

2. Medlemsstatene skal så snart som mulig gi underretning om samtlige opplysninger som gis i henhold til nr. 1 samt om endringer i disse opplysningene.

Bestemmelsene innbærer at Norge ved etablering av en evt. frivillig

godkjenningsordning har plikt til å varsle om denne og oppgi navn og adresse på det organet som tillegges oppgaven. Videre skal det gis underretning om alle tilleggskrav som er gitt vedrørende sikkerhetsløsninger for offentlig sektor. Det innebærer at det må gis en underretning om Kravspesifikasjonen når denne er endelig utformet. I tillegg skal det underrettes om samtlige godkjente aktører. Videre omfatter underretningsplikten alle senere endringer.

I tillegg til dette gjelder imidlertid særskilte høringsprosedyrer mellom EØS-landene for tekniske regler, inkludert regler om informasjonssamfunnstjenester. Dette følger av det såkalte ”Transparensdirektivet” (98/34/EF som senere endret ved direktiv 98/48/EF).

Nærings- og handelsdepartementet har i Ot. prp. nr 95 (2003-2004) fremmet forslag om lov om europeisk meldeplikt for tekniske regler (EØS-høringsloven), som

implementerer direktivet. Lovforslaget stiller krav til statlige forvaltningsorganer om å sende nye tekniske regler på høring til bl a ESA og EØS-landene. Formålet er å

forhindre at det blir vedtatt norske tekniske regler som innebærer handelshindringer i strid med EØS-avtalen. Hovedregelen er at høringsperioden skal være på 3 måneder og at evt. kommentarer fra ESA eller andre EØS-stater skal tas hensyn til i det videre arbeidet med å forberede reglene. I og med at godkjenningsordningen skal være frivillig er det ikke klart om ordningen er å anse som en teknisk regel. Det har imidlertid

betydning hvor frivillig ordningen i realiteten vil være, og dersom godkjente leverandører faktisk har større sjanser for å bli valgt som leverandør, vil den reelle frivilligheten være liten og ordningen bør da sendes på EØS-høring. Dette kan i så fall gjøres så snart ordningen er ferdig utformet, men vedtakelse og ikrafttredelse må

avvente høringsfristens utløp og evt. innspill. Når så ordningen er endelig vedtatt må det sendes melding i hh t artikkel 11 i direktivet om elektroniske signaturer.

Med hensyn til selve kravspesifikasjonen vil denne være å anse som tekniske regler dersom den legges til grunn for godkjenningsordningen. I så tilfelle må også denne sendes på EØS-høring. Praktisk bør dette gjøres samtidig med høringen av selve godkjenningsordningen. Dersom kravspesifikasjonen kun skal benyttes i konkrete anskaffelser, er det et unntak i utkastet til EØS-høringslov for anbudsgrunnlag i offentlige innkjøp og vi antar da at det i så fall ikke er nødvendig med EØS-høring av kravspesifikasjonen. I begge tilfeller vil imidlertid kravspesifikasjonen måtte meldes i henhold til art 11 i direktivet om elektroniske signaturer.