Vad gäller för säkerhet i elektroniska upphandlingsverktyg?
Publicerad 15 mars 2026
Hej,
Jag har en fråga om vilka krav som ställs på de tekniska säkerhetsanordningarna i elektroniska upphandlingssystem, särskilt vad gäller skyddet av anbud före anbudsöppning.
I 12 kap. 1 § LOU anges att utrustningen ska vara försedd med sådana säkerhetsanordningar att det inom rimliga gränser kan säkerställas att:
1.ingen har tillträde till uppgifterna före utgången av den fastställda tidsfristen,
2.bara behöriga personer därefter kan få tillgång till uppgifterna, och
3.det går att spåra om någon obehörig har tagit del av uppgifterna.
Jag har kontaktat en av leverantörerna av upphandlingssystem. Deras svar antyder att det beror på vilken typ av upphandlingsförfarande som valts huruvida upphandlaren kan ta del av anbud löpande under anbudstiden eller inte. De kunde inte heller ge ett entydigt svar på om en upphandlare vid ett öppet förfarande är tekniskt spärrad från att se inkomna anbud före anbudsöppning.
Mina frågor:
1.Hur tolkar Upphandlingsmyndigheten kravet i 12 kap. 1 § LOU på att “ingen har tillträde till uppgifterna före utgången av den fastställda tidsfristen”? Innebär detta att det måste finnas en teknisk spärr, eller räcker det att det finns en rättslig skyldighet som upphandlaren förväntas följa?
2.Kravet på att det ska gå att ”spåra om någon obehörig har tagit del av uppgifterna” — innebär detta ett krav på loggning i systemet? Och i så fall, vem bör ha tillgång till dessa loggar?
3.Om ett upphandlingssystem är konfigurerat så att upphandlaren tekniskt sett kan se anbud före anbudsöppning vid vissa förfaranden — uppfyller det kraven i LOU?
Frågan är principiell och inte kopplad till ett enskilt ärende, men jag vill gärna att svaret publiceras i Frågeportalen då det har allmänt intresse.
Tack på förhand.
Med vänlig hälsning
Jag har en fråga om vilka krav som ställs på de tekniska säkerhetsanordningarna i elektroniska upphandlingssystem, särskilt vad gäller skyddet av anbud före anbudsöppning.
I 12 kap. 1 § LOU anges att utrustningen ska vara försedd med sådana säkerhetsanordningar att det inom rimliga gränser kan säkerställas att:
1.ingen har tillträde till uppgifterna före utgången av den fastställda tidsfristen,
2.bara behöriga personer därefter kan få tillgång till uppgifterna, och
3.det går att spåra om någon obehörig har tagit del av uppgifterna.
Jag har kontaktat en av leverantörerna av upphandlingssystem. Deras svar antyder att det beror på vilken typ av upphandlingsförfarande som valts huruvida upphandlaren kan ta del av anbud löpande under anbudstiden eller inte. De kunde inte heller ge ett entydigt svar på om en upphandlare vid ett öppet förfarande är tekniskt spärrad från att se inkomna anbud före anbudsöppning.
Mina frågor:
1.Hur tolkar Upphandlingsmyndigheten kravet i 12 kap. 1 § LOU på att “ingen har tillträde till uppgifterna före utgången av den fastställda tidsfristen”? Innebär detta att det måste finnas en teknisk spärr, eller räcker det att det finns en rättslig skyldighet som upphandlaren förväntas följa?
2.Kravet på att det ska gå att ”spåra om någon obehörig har tagit del av uppgifterna” — innebär detta ett krav på loggning i systemet? Och i så fall, vem bör ha tillgång till dessa loggar?
3.Om ett upphandlingssystem är konfigurerat så att upphandlaren tekniskt sett kan se anbud före anbudsöppning vid vissa förfaranden — uppfyller det kraven i LOU?
Frågan är principiell och inte kopplad till ett enskilt ärende, men jag vill gärna att svaret publiceras i Frågeportalen då det har allmänt intresse.
Tack på förhand.
Med vänlig hälsning
Stefan
Publicerad 15 mars 2026
Hej Stefan,
Huvudregeln för kommunikation mellan en upphandlande organisation och leverantörer är att det ska ske med elektroniska medel, vilket framgår av 12 kap. 1 § lagen om offentlig upphandling (LOU). Bestämmelserna om säkerhetsaspekterna vid elektronisk kommunikation, som du nämner delar av i din fråga, regleras i 12 kap 8 § LOU.
Det bör dock understrykas att regleringen av kommunikationen mellan upphandlande organisation och leverantör och därtill anknutna bestämmelser om säkerhet utgör skyldigheter som den upphandlande organisationen ska upprätthålla vid genomförande av offentlig upphandling. Bestämmelserna utgör inte reglering om hur säkerheten uppnås i det tekniska utförandet. Vi kan därför inte svara på i vilken utsträckning särskilda tillvägagångssätt eller metoder uppfyller krav om säkerhet, annat än i mer generella termer. Att skapa spårbarhet i elektronisk kommunikation bör dock i all väsentlighet innebär att det går att följa olika händelser i kommunikationen, åtminstone i fråga om vilka händelser som inträffat, tidpunkt för dem och identifiering av personer som hanterat uppgifter. I praktiken är detta i mångt och mycket en fråga för de systemleverantörer som tillhandahåller upphandlingsverktyg som upphandlande organisationer använde sig utav. Det bör även innebära att det sannolikt är systemadministratörer hos den upphandlande organisationen och/eller systemleverantören som har tillgång till logghistoriken i upphandlingssystemet.
Att se anbud innan anbudsöppning
Det är oklart om omständigheten att den upphandlande organisationen kan, för vissa förfaranden, se anbuden innan anbudsöppning, innebär att det står i strid med kravet att ingen ska ha tillträde till anbudet innan anbudstidens utgång.
Det kan bero på vad det är för information som organisationen får tillgång. Är tillgången begränsad till att endast kunna se att anbud är inlämnat, men utan uppgift om det specifika innehållet eller vilken leverantör anbudet avser? Eventuellt tar den aktuella regleringen enbart sikte på att den upphandlande organisationen inte ska ta del av uppgifter i själva anbudet. Vad som talar för att det enbart är innehållet i anbuden som avses är att det uttryckligen regleras i en annan paragraf att den upphandlande organisationen inte får ta del av innehållet i ett anbud förrän tidsfristen för anbud har gått ut. Å andra sidan skulle man även kunna argumentera för att namn på leverantören är en del av innehållet i ett anbud. I sammanhanget kan dock nämnas att det inte nödvändigtvis är det företag som står angiven i upphandlingsverktyget som är anbudsgivare vilket innebär att det först är när anbudet har öppnats som man med säkerhet vet vem det är som är anbudsgivare.
Så vitt vi känner till har frågan om det är tillåtet för den upphandlande organisationen att innan sista anbudsdag se namnen på de företag som har lämnat in ett anbud via sitt konto, aldrig blivit prövad i domstol och rättsläget får därför betraktas som oklart.
Källhänvisningar
Huvudregeln för kommunikation mellan en upphandlande organisation och leverantörer är att det ska ske med elektroniska medel, vilket framgår av 12 kap. 1 § lagen om offentlig upphandling (LOU). Bestämmelserna om säkerhetsaspekterna vid elektronisk kommunikation, som du nämner delar av i din fråga, regleras i 12 kap 8 § LOU.
Det bör dock understrykas att regleringen av kommunikationen mellan upphandlande organisation och leverantör och därtill anknutna bestämmelser om säkerhet utgör skyldigheter som den upphandlande organisationen ska upprätthålla vid genomförande av offentlig upphandling. Bestämmelserna utgör inte reglering om hur säkerheten uppnås i det tekniska utförandet. Vi kan därför inte svara på i vilken utsträckning särskilda tillvägagångssätt eller metoder uppfyller krav om säkerhet, annat än i mer generella termer. Att skapa spårbarhet i elektronisk kommunikation bör dock i all väsentlighet innebär att det går att följa olika händelser i kommunikationen, åtminstone i fråga om vilka händelser som inträffat, tidpunkt för dem och identifiering av personer som hanterat uppgifter. I praktiken är detta i mångt och mycket en fråga för de systemleverantörer som tillhandahåller upphandlingsverktyg som upphandlande organisationer använde sig utav. Det bör även innebära att det sannolikt är systemadministratörer hos den upphandlande organisationen och/eller systemleverantören som har tillgång till logghistoriken i upphandlingssystemet.
Att se anbud innan anbudsöppning
Det är oklart om omständigheten att den upphandlande organisationen kan, för vissa förfaranden, se anbuden innan anbudsöppning, innebär att det står i strid med kravet att ingen ska ha tillträde till anbudet innan anbudstidens utgång.
Det kan bero på vad det är för information som organisationen får tillgång. Är tillgången begränsad till att endast kunna se att anbud är inlämnat, men utan uppgift om det specifika innehållet eller vilken leverantör anbudet avser? Eventuellt tar den aktuella regleringen enbart sikte på att den upphandlande organisationen inte ska ta del av uppgifter i själva anbudet. Vad som talar för att det enbart är innehållet i anbuden som avses är att det uttryckligen regleras i en annan paragraf att den upphandlande organisationen inte får ta del av innehållet i ett anbud förrän tidsfristen för anbud har gått ut. Å andra sidan skulle man även kunna argumentera för att namn på leverantören är en del av innehållet i ett anbud. I sammanhanget kan dock nämnas att det inte nödvändigtvis är det företag som står angiven i upphandlingsverktyget som är anbudsgivare vilket innebär att det först är när anbudet har öppnats som man med säkerhet vet vem det är som är anbudsgivare.
Så vitt vi känner till har frågan om det är tillåtet för den upphandlande organisationen att innan sista anbudsdag se namnen på de företag som har lämnat in ett anbud via sitt konto, aldrig blivit prövad i domstol och rättsläget får därför betraktas som oklart.
Källhänvisningar
- 12 kap. 8 § lag (2016:1146) om offentlig upphandling (LOU) – Säkerhet vid elektronisk kommunikation
- 12 kap. 10 § LOU – en upphandlande organisation får inte ta del av innehållet i ett anbud förrän tidsfristen för anbud har gått ut.
Therese
Jurist
24 mars 2026
Fråga oss!
Vill du hellre diskutera din fråga? Ring 08-586 217 01Mån-tors kl. 9-11. (Frågeservices telefon tillfälligt stängd på onsdagar under februari och mars)
Våra öppettider gäller på helgfria dagar.