Många väljer gamla kravspecifikationer och skyhöga tekniska ska-krav i en ny systemupphandling, eftersom det känns som det säkraste kortet för att skydda verksamheten. I verkligheten gör det tyvärr mer skada än nytta. Du dämpar prislappen och säkrar ett system som faktiskt levererar värde över tid när du skiftar fokus från stela checklistor till levande, verifierbara krav.
Snabbfakta: Balansera krav enligt LOU
Verksamhetens funktionella behov ska ligga till grund för kraven istället för specifika tekniska lösningar om du vill kombinera tekniska ska-krav och säkerhetskrav utan att begränsa konkurrensen. Du säkrar regelefterlevnad enligt LOU:s proportionalitetsprincip via mjukare formuleringar, uppdelade sammansatta krav och en verifierbarhetsmatris direkt i förfrågningsunderlaget.
"Den största konsekvensen av överarbetade kravspecifikationer blir ofta att du får för få anbud,
högre riskpåslag från leverantörerna och IT-projekt som blir betydligt dyrare över tid. Du riskerar att köpa ett system som till punkt och pricka uppfyller en teoretisk kravmatris, men som helt missar det faktiska verksamhetsbehovet." menar Roland Sjögren, Anbudsansvarig på Publitech
Utmaningen: Att skriva krav som går att följa upp över tid
Den stora utmaningen för upphandlare och systemansvariga ligger i att formulera krav som uppfyller fyra grundläggande kriterier:
- De måste vara direkt relevanta för den faktiska verksamhetsrisken.
- De måste gå att verifiera på ett objektivt sätt vid leverans.
- De ska kunna följas upp och utvärderas löpande under hela avtalstiden.
- De får inte begränsa konkurrensen mer än nödvändigt enligt proportionalitetsprincipen i lagen om offentlig upphandling (LOU).
Tre strategiska skiftningar inför din nästa systemupphandling
För att gå ifrån stela checklistor till en mer affärsmässig och pricksäker upphandling bör du implementera följande tre metoder i ditt underlag:
1. Fokusera på funktion och använd mjukare formuleringar
Att ställa specifika och invecklade tekniska ska-krav kan resultera i att du tvingas göra om hela upphandlingen. Ett ska-krav som kategoriskt kräver en specifik teknisk standard (exempelvis att all kod till punkt och pricka ska följa HTML5) riskerar att låsa ute marknadens bästa lösningar helt i onödan.
Vårt tips är att istället använda mjukare formuleringar där det är applicerbart eller be leverantören beskriva sin process. Skriv till exempel: ”...beskriv hur funktioner i systemet säkerställer regelefterlevnad av GDPR” snarare än att diktera exakt hur databasarkitekturen ska se ut. Det öppnar för dialog och bättre affärer.
2. Renodla dina ska-krav – ett behov i taget
Ett av de vanligaste misstagen i kravspecifikationer är att trycka in flera olika behov i ett och samma ska-krav. Om en enskild punkt kräver att en leverantör ska hantera både rollbaserad åtkomstkontroll (RBAC), multifaktorautentisering (MFA) och realtidsloggning i en och samma mening, blir det svårt eller omöjligt för leverantören att svara strukturerat. Dela upp kraven. Renodlade krav gör det enkelt för leverantören att svara och för dig att utvärdera.
3. Inför en verifierbarhetsmatris redan i upphandlingsfasen
Det här är ett extremt effektivt verktyg som fortfarande används alldeles för lite inom offentlig sektor. Genom att definiera exakt hur, när och av vem ett centralt krav ska kontrolleras, slipper du obehagliga överraskningar under driftsättningen.
| Centralt krav | Hur verifieras det? | När sker kontrollen? | Vem ansvarar? |
| Svarstid & prestanda (t.ex. < 2 sek) | Lasttest (FAT/SAT) | Inför driftsättning | Oberoende testpart |
| Informationssäkerhet (t.ex. ISO 27001) | Certifikat + extern revision | Årligen under avtalstiden | Beställare / Revisor |
| Systemintegration (t.ex. API-stöd) | Integrationstest | Inför slutgodkännande | Gemensamt (Kund & Leverantör) |
Säkerhetskravens nya roll: Från pris till riskminimering
Upphandling av verksamhetskritiska system inom offentlig sektor har genomgått en snabb förändring. Det som tidigare främst handlade om funktion och lägsta pris handlar idag om säkerhet, tillgänglighet och kontroll över data. Enligt riktlinjer från MSB (Myndigheten för samhällsskydd och beredskap) ska informationssäkerhet genomsyra hela systemets livscykel.
Kraven på exempelvis dataportabilitet (i linje med EU:s Data Act) måste balanseras noga. Myndigheten har rätt till sin data och ska kunna extrahera den i ett strukturerat, maskinläsbart format vid ett eventuellt leverantörsbyte, men avtalet bör tydligt reglera ansvarsfördelningen så att oförutsedda migrationskostnader undviks.
Vill du ha fler konkreta verktyg för din nästa upphandling?
Att skriva balanserade och framtidssäkrade krav kräver ett gediget förarbete. Vi har samlat praktiska checklistor, djupgående strategier och mallar för hur du lyckas med hela processen från behovsanalys till avtalsskrivande i vår heltäckande guide.
.jpg)