Er du klar over dette ved offentlige anskaffelser av sky?
DEBATT: Ikke alle vet at offentlige kunders kjøp av skytjenester også skal følge anskaffelsesregelverket.
Ja?
Det er vel ikke noe nytt, - alle vet vel det?
Mulig det. Like fullt er det mange som ikke helt skjønner hva det faktisk innebærer. La oss forklare.
Vi har over lang tid sett en rekke eksempler på at offentlige kunder bestemmer seg for å benytte IaaS- eller PaaS-tjenester fra en av de store internasjonale hyperscalerne, som eksempelvis Amazon Web Services (AWS), Google Cloud Platform (GCP) eller Microsoft Azure. Og valget av leverandør tas ofte uten konkurranseutsetting. En del kunder publiserer riktignok konkurranse på broker-/forhandlerleddet, men som regel er dette knyttet til konsum av skytjenester fra en spesifikk skyleverandør uten at det har vært en forutgående utlysning av konkurranse på de underliggende skytjenestene.
Eksemplene
blant kunngjorte konkurranser på Doffin er mange.
I et eksempel fra 2022 finner vi allerede i kunngjøringen en beskrivelse av Azure som den «foretrukne plattformen». I en annen kunngjøring står det «implementering av IT-løsninger i Azure» under beskrivelsen av hva som skal anskaffes. I en tredje anskaffelse som gjaldt lisenspartner, er avtalens omfang angitt til å gjelde kjøp av lisenser, da utelukkende fra Microsoft.
I samtlige konkurranser er det tydelige henvisninger til varemerker, noe som ikke nødvendigvis er lovlig etter anskaffelsesregelverket når ikke anskaffelsen av IaaS/PaaS-tjenesten i seg selv har vært konkurranseutsatt allerede.
Vi finner også tilfeller der oppdragsgiver nesten gjør det riktig. I en konkurranse fra 2023 er formålet blant annet beskrevet å være anskaffelse av en løsning for skylagring. I anskaffelsesdokumentene kan vi lese behovsbeskrivelser som synes å samsvare med anskaffelsesregelverket. Men når overskriften lyder «Azure/Skylagring», kan fremgangsmåten ironisk nok like fullt være konkurransevridende.
Eksemplene bekrefter vår erfaring om at mange offentlige kunder ikke sørger for konkurranse mellom hyperscalerene, eller gir andre potensielle tilbydere mulighet til å delta i konkurransen.
Det skal tillegges at konkurransebegrensende krav kan være lovlige dersom de er objektivt og saklig begrunnet. For eksempel der den offentlige kunden har et veldokumentert behov for en managed SQL-database eller spesifikke krav som følge av bestemmelser i sikkerhetsloven.
Vi stiller like fullt spørsmål ved en erfaringsmessig utbredt praksis hvor oppdragsgiver risikerer å gjennomføre en ulovlig direkte anskaffelse eller en usaklig konkurransebegrensende prosess. La oss illustrere dette nærmere ved to typetilfeller.
To typetilfeller og sak i KOFA
Kommunen «Rosasky» henvender seg til forhandlermarkedet (cloud broker) for anskaffelse av en leverandør som kan forvalte kommunens portefølje av skytjenester. Porteføljen består av eksisterende lisenser til tjenester hos hyperscalerne. «Rosasky» inngår kontrakt med en forhandler som både skal forvalte eksisterende lisenser og etablere nye. Den delen som angår eksisterende lisenser/tjenester, blir altså konkurranseutsatt i forhandlermarkedet. Kjøpet av nye lisenser/tjenester derimot, foretas via forhandleren uten at potensielle bakenforliggende og relevante leverandører nødvendigvis får anledning til å konkurrere om å levere disse nye tjenestene. I praksis kan det her være snakk om en ulovlig direkte anskaffelse.
I en annen del av landet skal «Storesky» kommune kjøpe skytjenester, og har stilt krav om at løsningen må være levert av en av hyperscalerne. Dette begrunnes i sikkerhet, kompatibilitet og arkivregelverk med mer. Tjenesteleverandøren Vår Sky AS blir oppmerksom på konkurransen og reagerer på at Storesky kommune har navngitt konkrete skyleverandører i stedet for å ha åpne behovsbeskrivelser som også andre potensielle leverandører kan dekke. Basert på kommunens behov, mener Vår Sky AS at de kunne levert en dekkende tjeneste, og klager til kommunen på at konkurransen er usaklig konkurransebegrensende. Storesky kommune er uenig og gjennomfører konkurransen som planlagt.
Typetilfelle to kom på spissen i KOFAs sak 2021/1416, hvor klager IBM fikk medhold av klagenemnda i at Direktoratet for forvaltning og økonomistyring (DFØ) hadde brutt anskaffelsesregelverket i en konkurranse for inngåelse av rammeavtale om kjøp av skytjenester. I DFØs kravspesifikasjon var det inntatt et bør-krav om at leverandørene måtte tilby «tilgang til minst tre ledende produsenter av relevante sky-tjenester», uten nærmere spesifisering. I prisskjemaet skulle imidlertid leverandørene oppgi lisenspriser på sine avtaler med Azure, AWS og GCP. Dersom tilbydere ønsket å oppgi priser for andre skyprodusenter, ville dette inngå i en «helhetsvurdering» under kvalitetskriteriet og ikke priskriteriet.
IBM hevdet at DFØ hadde brutt anskaffelsesregelverket ved utformingen av konkurransegrunnlaget, som følge av brudd på prinsippet om konkurranse i anskaffelsesloven § 4 og forbudet mot henvisninger til spesifikke varemerker og produsenter i anskaffelsesforskriften § 15-1 (4).
Utgangspunktet etter anskaffelsesforskriften § 15-1 (3) er at krav skal utformes som ytelses- eller funksjonskrav eller ved henvisning til standarder eller tekniske spesifikasjoner, med mindre annet er fastsatt i rettslig bindende regler. Bestemmelsens fjerde ledd oppstiller videre et forbud mot å henvise til bestemte varemerker o.l. som gjør at visse leverandører favoriseres eller utelukkes, med mindre det er nødvendig ut fra anskaffelsens formål eller dersom anskaffelsen ikke ellers kan beskrives tilstrekkelig presist og forståelig.
KOFA konstaterte at prinsippet om konkurranse og likebehandling innebærer at konkurransegrunnlaget må utformes på en måte som ikke usaklig begrenser konkurransen i det aktuelle markedet. Selv om konkurransen henvendte seg til forhandlermarkedet og innebar rådgivning, megling, service og lignende, måtte konkurransen likevel organiseres slik at det oppnås konkurranse også i underleverandørmarkedet, altså blant de faktiske skytjeneste-leverandørene.
Det faktum at forhandlerne står fritt til å inngå avtaler med de nevnte skyprodusentene, var etter KOFAs mening ikke nok til å konstatere at utformingen av konkurransegrunnlaget ikke ville ha en konkurransevridende effekt i forhandlerleddet. KOFA la vekt på at inngåelse av slike avtaler innebærer en rekke forpliktelser for forhandleren, blant annet om kursing av ansatte og oppdatert kunnskap om skyplattformen, samt at forhandlerens eksisterende avtaler kan begrense adgangen til å inngå avtaler med konkurrerende produsenter. KOFA kjøpte heller ikke DFØs argument om at det var nødvendig å vise til navngitte skyprodusenter for å få sammenlignbare priser.
DFØ hadde ikke dokumentert et saklig behov for å begrense konkurransen, og dermed brutt prinsippet om konkurranse i anskaffelsesloven § 4.
Mangelfull planlegging og manglende kunnskap
Vi forstår at det innenfor et teknologisk felt under stadig utvikling er utfordrende å gjøre alt rett. Noe av årsaken ligger i mangelfull planlegging av anskaffelsene og manglende kunnskap om anskaffelsesregelverket.
Fra et anskaffelsesrettslig perspektiv mistenker vi at oppdragsgivere tror at skytjenester som PaaS og IaaS er vesentlig forskjellig fra eksempelvis samme type skytjenester fra Oracle eller andre leverandører, eller fra klassiske datasentertjenester fra en leverandør lokalisert i Norge. Det er selvfølgelig forskjeller, men gitt den enkelte kundes behov, så kan utvalget av aktuelle tilbydere likevel være bredere enn mange oppdragsgivere synes å anta.
En annen årsak kan være feiloppfatninger om at det må stilles krav om at alle data må ligge på en server i Norge, noe som ikke nødvendigvis er riktig i svært mange tilfeller. For eksempel at kunden feilaktig er av den oppfatning at dataene må lagres på norsk jord på grunn GDPR eller krav i bokføringsforskriften.
Noen anskaffelser kan nok begrunnes i fleksibiliteten i noen skyleverandørers vederlagsstruktur, hvor tjenester kan kjøpes løpende som «pay as you go» med stor evne til skalerbarhet, eller at løsningene tilbyr tilleggstjenester som velutviklede AI- og blockchain-teknologi. Det skal likevel mye til for å kunne ekskludere andre potensielle tilbydere før man har testet dette gjennom en konkurranse.
Behovet må være styrende
I enhver konkurranse må oppdragsgiver kartlegge sitt faktiske behov. I denne sammenheng kan det eksempelvis problematiseres hvorfor de mer tradisjonelle driftsleverandørene automatisk skal ekskluderes fra å delta i konkurransene. Selv om svaret ofte vil være gitt når en kunde ønsker å kjøpe IaaS eller PaaS, eller når kunden tror det kun er ytterst få leverandører som kan levere en konkret teknologi, kan man ikke automatisk utelukke hele markedet fra å konkurrere.
En kunde kan heller ikke automatisk ekskludere for eksempel AWS, GCP eller andre skyleverandører fra å delta bare fordi kunden ønsker datasenteret på norsk jord og tenker at Microsoft per i dag er det eneste alternativet.
Faktum er at offentlige kunder skal konkurranseutsette kjøp av IaaS eller PaaS, både for egne avtaler direkte med skyleverandøren, eller via en broaker/forhandler.
Hvordan bør man således gå frem når man skal anskaffe PaaS/IaaS-tjenester?
Vi tenker følgende:
- Bruk god tid på å planlegge konkurransen, med fokus på behovet fremfor konkrete leverandører og løsninger.
- Krav bør i størst mulig grad utformes som ytelses- eller funksjonskrav, og varemerkehenvisninger bør unngås. Både oppdragsgiver og markedet er tjent med at det konkurreres om de beste løsningene for å dekke behovet.
- Benytt konkurranse med forhandling eller konkurransepreget dialog.
- Still krav til skytjenestene, men pass på å ikke stille krav som enten 1) gjør det tilfeldig hvilke skyleverandører som oppfyller kravene, eller 2) som i realiteten begrenser skyleverandørers mulighet til selv å videreutvikle skyløsningene som en public cloud-løsning. Vi anbefaler derfor at man beskriver behovet og at konkurransen legges opp slik at leverandørene skal redegjøre for kapabiliteter for å oppfylle behovet. Det er da de ulike løsningene som blir gjenstand for evalueringen.
- Fremfor ensidig fokus på oppfyllelse av kravspesifikasjonen når man skal kjøpe dynamiske tjenester, bør man også utfordre leverandørene til å redegjøre for sine innovasjon- og utviklingsplaner, gjerne i form av «roadmaps». På den måten kan man sikre at man inngår kontrakt med en skytjenesteleverandør som kontinuerlig vil videreutvikle tjenesten og møte kommende behov.
- Priser for IaaS/PaaS-tjenester fra de ulike hyperscalerne er ofte ikke lett å sammenligne, da tjenestene er noe forskjellig. Løsningen er slik vi ser det heller å beskrive behovet og utfordre tilbyderne til å dekke dette og vise underliggende simulering av pris.
- Selv om skyen er skalerbar, betyr inntektsføring mye for leverandørene. Man oppnår bedre rabatt på listeprisene ved å forplikte seg til et minimumsforbruk over tid, fremfor å stå helt fritt.
- Men - noen ganger har man god grunn til å stille bestemte krav, for eksempel på grunn av lovpålagte plikter etter sikkerhetsregelverket, GDPR eller saklig begrunnede kompatibilitetsbehov, tjenestekrav mv.