Kaupunginhallitus, kokous 11.1.2021

Pöytäkirja on tarkastettu

§ 21 Oikaisuvaatimus kyselytyökalun hankinnasta

MliDno-2020-1203

Valmistelija

  • Jarmo Autere, hankintapäällikkö, Jarmo.autere@mikkeli.fi
  • Kimmo Kokko, tietohallintopäällikkö, kimmo.kokko@mikkeli.fi
  • Heidi Hänninen, viestintäpäällikkö, heidi.hanninen@mikkeli.fi

Kuvaus

Mikkelin kaupunki on kilpailuttanut kyselytyökalun hankinnan ajalle 1.1.2021 - 31.12.2022 + mahdollisesta toistaiseksi jatkuvalla sopimuksella, johon tarjouksen jättivät Webropol Oy ja ZEF Oy. Hankinnasta on tehty hankintapäällikön päätös MliDno-2020-1203, jossa toimittajaksi valittiin ZEF Oy. Tiedoksianto tarjoajille lähetettiin sähköisesti 14.12.2020 klo 9:30.

Webropol Oy on tehnyt oikaisuvatimuspyynnön asianajotoimiston välityksellä, joka on päivätty 22.12.2020. Hankintaoikaisua on pyydettty seuraaviin hankinta-asikirjoissa pakollisena olleisiin kohtiin:

Kohta 8
Vaatimus: Järjestelmän palvelimet sijaitsevat Suomessa.
Tarkennus: Toimittajan tarjoaman SaaS-palvelun tietokannat ja alusta sijaitsevat kokonaisuudessaan Suomessa ja niihin noudatetaan EU-tietosuoja-asetuksen (GDPR) säädöksiä

Kohta 9
Vaatimus: Järjestelmän palvelinsali on auditoitu.
Tarkennus: Milloin auditoitu ja auditoinnin tarkemmat tiedot. Kuvaus/seloste auditoinnista.

Kohta 10
Vaatimus: Järjestelmän tulee noudattaa ISO27001- sekä kotimaista Katakri III -tietoturvastandardeja.

Kohta 16
Vaatimus: Palvelulle on tehty saavutettavuusseloste.
Tarkennus: Saavutettavuusselosteen pohja saatavilla.

Tarjouksessaan tarjoajat sitoutuvat hankinta-asikirjojen ehtoihin ja hankintayksiköllä on oikeus luottaa tarjoajan antamiin tietoihin. Lisäksi hankintapalvelut teki varmistuskyselyn sähköpostitse ennen hankintapäätöksen tekoa voittaneelta tarjoajalta, että se täyttää kaikki tarjouspyynnön ja vaatimusmäärittelyn ehdot, jonka ZEF Oy vastauksellaan varmisti.

Hankintayksikön vastine hankintaoikaisuun:

Kohdat 8. ja 9.
Zeffin kyselytyökalu voidaan sovittaessa asiakaskohtaisesti konfiguroida niin, että kaikki kyselyvastaajiin liittyvä tieto (mahdolliset yhteystiedot ja kyselyvastaukset) tallennetaan Suomessa Haminassa sijaitsevaan Googlen datakeskukseen. Googlen palvelinsalit ovat ulkopuolisen toimijan sertifioimia. Googlen palvelinkeskuksilla on tällä hetkellä (joulukuu 2020) 26 sertifikaattia, mm. Cloud Computing Compliance Controls Catalog (C5), CSA STAR, ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, SO/IEC 27701, EU Cloud Code of Conduct.

Näiltä osin ZEF Oy siis täyttää Kohtien 8 ja 9 vaatimukset.

Kohta10
Hankinta-yksikkö ei ole kohdassa 10 vaatinut sertifiointia, vaan, että toimittaja noudattaa iso27001 ja katakri III-standardeja.

ZEF Oy ei yrityksenä ole sertifioitu ISO27001 eikä Katakri III mukaisesti, mutta ZEF Oy:lle on muiden asiakkaiden toimesta tehty vastaavia auditointeja, jotka ZEF Oy on täyttänyt. Mainittakoon, että ZEF Oy:tä käyttää myös saavutettavuusdirektiiviä Suomessa valvova viranomainen, Etelä-Suomen aluehallintovirasto, joka on auditoinnissa todennut ZEF Oy:n esteettömän vastausmoodin saavutettavuusdirektiivin mukaiseksi. Yleisesti voimme todeta, että ZEF Oy:n kyselytyökalu on yleisesti kunta-alalla käytössä, ja täyttää hyvin julkisille tietojärjestelmille asetetut vaateet.

Valvova viranomainen asiassa on Etelä-Suomen aluehallintovirasto ja löydät lisätietoa saavutettavuusdirektiivistä ja sen vaikutuksista julkisiin verkkopalveluihin AVI:n sivulta: https://www.saavutettavuusvaatimukset.fi 

Pääsynhallinta, tietoturvan ja käytön monitorointi ja seuranta hoidetaan Google Cloudin työkaluilla. Sisäisesti ZEF käyttää Google G-Suite palvelua pääsynhallintaan. Sovelluksen käyttö kirjataan tietokantaan, niin että on selvitettävissä kuka tietoa katsoo ja muuttaa.

Tietoturvapolitiikka on kuvattu dokumentissa (Zef Security Policy). Tärkeimpinä asioina sieltä poimittuna: Zefin tietoturvan keskiössä on loppukäyttäjien tietojen turvallinen hallinta. Loppukäyttäjien tietoja tallennetaan ja käsitellään vain hyvin suojatuissa ympäristöissä Google Cloudissa. ZEF ei koskaan käytä asiakkaiden tietoja testauksessa. Tietoturvapolitiikkaa päivitetään säännöllisesti ja sen vahvistaa ZEF Oy:n johtoryhmä.

Sovelluskehityksen käytännöt ja Zeffi työkalun tietoturva on kuvattu dokumenteissa ZEF RD Practices ja ZEF Software Architecture Documentation. Tähän liittyvinä asioina tärkeimpinä siellä mm. modernit teknologiat, jotka auttavat turvallisen ratkaisun kehittämisessä, tuotekehityksen eri vaiheissa huomioitava tietoturva, Google Cloudin sisäänrakennettu tietoturva ja rajapintojen salaukset ja autentikoinnit. OWASP Top 10 -listaus on huomioitu sovelluskehityksessä, ja sitä käytetään säännöllisesti testatessa tietoturvaa. ZEF Oy:n rajapinnat autentikoidaan apikey ja/tai OAuth 2.0 avulla ja salataan aina HTTPS/TLS salauksella.

Kohta 16.
Saavutettavuusselostetta  ei ole ZEF:n verkkosivuilla eikä hankintayksikkö ole sitä vaatinut, vaan vaatinut tilaajan – toimittajan välistä vuoropuhelua tästä pohjasta – ei muista asioista. Saavutettavuusselosteen upottamista tarkoitetaan hankintayksikön kyselysivustoon – ei zef.fi sivustoon.

ZEF Oy on toimittanut hankintayksikölle tarvittavat documentit ko. asioista.

Päätösehdotus

Esittelijä

  • Timo Halonen, kaupunginjohtaja, timo.halonen@mikkeli.fi

Kaupunginhallitus päättää hylätä edellä mainituin vastineperusteluin Webropol Oy:n oikaisuvaatimuksen ja pitää voimassa hankintapäällikön hankintapäätöksen MliDno-2020-1203.

Päätös

Hyväksyttiin.

Eriävä mielipide

  • Salassapidettävät tiedot poistettu.

Tiedoksi

Webropol Oy, ZEF Oy, kirjaamo, hankinta-, viestintä-, tietohallinto- ja henkilöstöpalvelut

Liitteet

Liite Kh Hankintaoikaisuvaatimus, kyselytyökalu - Webropool Oy.pdf (pdf, 191 kt)

Muutoksenhaku

Tähän päätökseen haetaan muutosta kunnallisvalituksella.

Valitusoikeus
Oikaisuvaatimuksen johdosta annettuun päätökseen saa hakea muutosta kunnallisvalituksin vain se, joka on tehnyt oikaisuvaatimuksen.

Mikäli alkuperäinen päätös on oikaisuvaatimuksen johdosta muuttunut, saa päätökseen hakea muutosta kunnallisvalituksin myös:

  • se, johon päätös on kohdistettu tai jonka oikeuteen, velvollisuuteen tai etuun päätös välittömästi vaikuttaa (asianosainen), sekä
  • kunnan jäsen.


Valitusaika
Kunnallisvalitus on tehtävä 30 päivän kuluessa päätöksen tiedoksisaannista.

Valitus on toimitettava valitusviranomaiselle viimeistään valitusajan viimeisenä päivänä ennen valitusviranomaisen aukioloajan päättymistä.

Omalla vastuulla valitusasiakirjat voi lähettää postitse tai lähetin välityksellä. Postiin valitusasiakirjat on jätettävä niin ajoissa, että ne ehtivät perille ennen valitusajan päättymistä.

Asianosaisen katsotaan saaneen päätöksestä tiedon, jollei muuta näytetä, seitsemän päivän kuluttua kirjeen lähettämisestä. Käytettäessä tavallista sähköistä tiedoksiantoa katsotaan asianosaisen saaneen tiedon päätöksestä kolmantena päivänä viestin lähettämisestä.

Kunnan jäsenen ja kuntalain (410/2015) 137 §:n 2 momentissa tarkoitetun kunnan katsotaan saaneen päätöksestä tiedon seitsemän päivän kuluttua siitä, kun pöytäkirja on nähtävänä yleisessä tietoverkossa.

Tiedoksisaantipäivää ei lueta valitusaikaan. Jos valitusajan viimeinen päivä on pyhäpäivä, itsenäisyyspäivä, vapunpäivä, joulu- tai juhannusaatto tai arkilauantai, saa valituksen tehdä ensimmäisenä arkipäivänä sen jälkeen.

Valitusperusteet
Kunnallisvalituksen saa tehdä sillä perusteella, että:

  • päätös on syntynyt virheellisessä järjestyksessä,
  • päätöksen tehnyt viranomainen on ylittänyt toimivaltansa tai
  • päätös on muuten lainvastainen.


Valittajan tulee esittää valituksen perusteet valitusviranomaiselle ennen valitusajan päättymistä.

Valitusviranomainen
Kunnallisvalitus tehdään Itä-Suomen hallinto-oikeudelle.

Postiosoite: PL 1744, 70101 Kuopio
Käyntiosoite: Minna Canthin katu 64
Sähköpostiosoite: ita-suomi.hao@oikeus.fi
Faksinumero: 029 56 42501
Puhelinnumero: 029 56 42500
Hallinto-oikeuden asiakaspalvelu on avoinna arkisin 8.00­–16.15

Valituksen voi tehdä myös hallinto- ja erityistuomioistuinten asiointipalvelussa osoitteessa https://asiointi2.oikeus.fi/hallintotuomioistuimet.

Valituksen muoto ja sisältö
Valitus on tehtävä kirjallisesti. Myös sähköinen asiakirja täyttää vaatimuksen kirjallisesta muodosta.

Valituksessa, joka on osoitettava valitusviranomaiselle, on ilmoitettava:

  1. päätös, johon haetaan muutosta (valituksen kohteena oleva päätös);
  2. miltä kohdin päätökseen haetaan muutosta ja mitä muutoksia siihen vaaditaan tehtäväksi (vaatimukset);
  3. vaatimuksen perustelut;
  4. mihin valitusoikeus perustuu, jos valituksen kohteena oleva päätös ei kohdistu valittajaan.


Valituksessa on lisäksi ilmoitettava valittajan nimi ja yhteystiedot. Jos valittajan puhevaltaa käyttää hänen laillinen edustajansa tai asiamiehensä tai jos valituksen laatijana on joku muu henkilö, valituksessa on ilmoitettava myös tämän nimi ja yhteystiedot. Yhteystietojen muutoksesta on valituksen vireillä ollessa ilmoitettava viipymättä hallintotuomioistuimelle.

Valituksessa on ilmoitettava myös se postiosoite ja mahdollinen muu osoite, johon oikeudenkäyntiin liittyvät asiakirjat voidaan lähettää (prosessiosoite). Mikäli valittaja on ilmoittanut enemmän kuin yhden prosessiosoitteen, voi hallintotuomioistuin valita, mihin ilmoitetuista osoitteista se toimittaa oikeudenkäyntiin liittyvät asiakirjat.

Valittajan, laillisen edustajan tai asiamiehen on allekirjoitettava valitus. Sähköistä asiakirjaa ei kuitenkaan tarvitse täydentää allekirjoituksella, jos asiakirjassa on tiedot lähettäjästä eikä asiakirjan alkuperäisyyttä tai eheyttä ole syytä epäillä.

Oikaisuvaatimuksen tekijä saa valittaessaan oikaisuvaatimuspäätöksestä esittää vaatimuksilleen uusia perusteluja. Hän saa esittää uuden vaatimuksen vain, jos se perustuu olosuhteiden muutokseen tai oikaisuvaatimuksen tekemisen määräajan päättymisen jälkeen valittajan tietoon tulleeseen seikkaan.

Valitukseen on liitettävä:

  1. valituksen kohteena oleva päätös valitusosoituksineen;
  2. selvitys siitä, milloin valittaja on saanut päätöksen tiedoksi, tai muu selvitys valitusajan alkamisen ajankohdasta;
  3. asiakirjat, joihin valittaja vetoaa vaatimuksen tueksi, jollei niitä ole jo aikaisemmin toimitettu viranomaiselle.


Asiamiehen on liitettävä valituskirjelmään valtakirja, kuten laissa oikeudenkäynnistä hallintoasioissa (808/2019) 32 §:ssä säädetään.

Oikeudenkäyntimaksu
Tuomioistuinmaksulain (1455/2015) nojalla muutoksenhakijalta peritään oikeudenkäyntimaksu, mikä on määrätty mainitun lain 2 §:ssä. Saman lain 5 §:ssä on määräys niistä asioista, joista ei peritä oikeudenkäyntimaksua.

Pöytäkirja
Päätöstä koskevia pöytäkirjan otteita ja liitteitä voi pyytää Mikkelin kaupungin kirjaamosta.

Käyntiosoite: Raatihuoneenkatu 8–10, 50100 Mikkeli
Postiosoite: PL 33, (Raatihuoneenkatu 8–10), 50101 Mikkeli
Faksinumero: 015 36 6583
Puhelinnumero: 044 794 2033 / 015 1941 (vaihde)
Sähköpostiosoite: kirjaamo@mikkeli.fi

Kirjaamon aukioloaika on maanantaista perjantaihin klo 9-16 ja arkipyhien aattoina sekä kesä-elokuussa maanantaista perjantaihin klo 9-15.